La historia de Kevin Mitnick: el hacker más famoso del mundo

Por: Anry Sergeev | 10.04.2025, 09:00

"Buenas tardes, señor. ¿Podría decirme dónde puedo comprar un compostador como éste? Necesito uno para un proyecto escolar", la voz del niño de doce años era muy segura, por lo que el conductor del autobús urbano de Los Ángeles no tenía ni idea de lo que tramaba el chico. De hecho, su plan estaba en consonancia con sus principales cualidades: su curiosidad y su impecable memoria, que le permitían recordar todas las combinaciones de perforaciones de los billetes de autobús para hacer transbordos. Y necesitaba la herramienta para no tener que pagar nunca más por los autobuses. Y para moverse gratis por Los Ángeles. El nombre del tipo era Kevin Mitnick. Y ésta, según recordaba en su autobiografía, fue la primera vez en su vida que pirateó el sistema para acceder gratis a sus recursos. Más tarde se daría cuenta de que eso se llama ingeniería social. Pero le conocemos mejor como el hacker más famoso del mundo, que fue perseguido por el FBI durante dos años.

Avance rápido

¿Quién es Kevin Mitnick?

Si todavía piensa que un hacker es un adolescente pálido con sudadera con capucha, machacando patatas fritas delante de un monitor por la noche, es porque no ha leído la historia de Kevin David Mitnick. Nació el 6 de agosto de 1963 y murió el 16 de julio de 2023, y en las últimas seis décadas ha conseguido convertirse en una leyenda cibernética: tanto en la lista negra del FBI como en las listas de bestsellers del New York Times. No todo el mundo puede hacer eso.

En los años 90, Mitnick era un hacker que iba donde no le invitaban. No por dinero. No por la fama. Sólo porque podía. Su detención en 1995 fue una auténtica sensación cibernética: no se juzgaba tanto a una persona como a un fenómeno que las fuerzas del orden ni siquiera sabían cómo calificar adecuadamente. Fue condenado a cinco años. Y, por supuesto, hubo mucho revuelo mediático, libros, películas y acaloradas discusiones en todos los foros posibles (sí, entonces ya existían).

Pero el drama no acabó ahí: tras salir de la cárcel, Kevin protagonizó una espectacular transformación cibernética: de malvado de sombrero negro a gurú de sombrero blanco. Fundó Mitnick Security Consulting, asesoró a empresas, escribió libros sobre seguridad y se involucró en el proyecto KnowBe4, que enseña a la gente a no hacer clic en todo lo que parpadea. Su autobiografía se convirtió en un éxito, y de nuevo, no por marketing, sino por una historia que no se puede inventar.

El caso de Mitnick aún se menciona en los cursos de derecho digital: era una época en la que nadie sabía realmente qué hacer con los hackers. Las nuevas leyes se escribían literalmente sobre la marcha y los tribunales estudiaban en qué se diferenciaba "copiar software" de robar cookies. Además, muchos creían que su castigo era demasiado severo y que había sufrido muy poco daño real.

Hoy, Mitnick es algo más que un nombre. Forma parte de la cibercultura. Su historia sigue planteando la cuestión principal: ¿quién es un hacker, un delincuente o un denunciante que saca a la luz agujeros en el sistema de los que nadie más se da cuenta? Kevin parece haber conseguido ser ambas cosas.

Cómo empezó Kevin Mitnick a piratear sistemas antes de Internet

Kevin David Mitnick nació el 6 de agosto de 1963 en el barrio Van Nuys de Los Ángeles, California. Sus padres, Alan Mitnick y Shelly Jaffe, se divorciaron cuando era niño, por lo que pasó la mayor parte de su infancia con su madre. Su abuela materna, Reba Vartanian, también participó en su educación. La familia tenía raíces judías y no mucho dinero: su madre tenía dos trabajos, y Kevin tenía mucho tiempo libre y aún más curiosidad por el mundo que le rodeaba.


Kevin Mitnick a los 3 años. Ilustración: mitnicksecurity.com

Y fue en este entorno -no en las clases de seguridad informática, sino en algún lugar entre las calles y las paradas de autobús de Los Ángeles- donde despertó el hacker que el FBI buscaba más tarde. A los 12 años, Mitnick ya mostraba inclinación por la ingeniería social: se inventó una historia sobre un proyecto escolar y preguntó a un conductor de autobús dónde conseguir un compostador de billetes. Compró el aparato, se hizo con un lote de billetes de transbordo vacíos de un contenedor cercano a la cochera (los conductores se limitaban a tirar los impresos no utilizados después de sus turnos) y empezó a viajar por la ciudad sin un céntimo. Todo era legal... bueno, casi.


Vista aproximada del compostador de billetes utilizado por Mitnik. Ilustración: Wikipedia

No era un intento de ahorrar dinero, sino la primera prueba del sistema para ver si se podía piratear. La curiosidad, la emoción y la comprensión de cómo saltarse las normas: todo ello se convirtió no en un juego de niños, sino en el primer caso de la futura cartera del hacker más famoso de Estados Unidos. Y lo más interesante es que, según el propio Mitnick, sus padres se tomaron la historia con una sonrisa más que con un reproche. Incluso los conductores de autobús, que conocían sus trucos, se mostraron algo comprensivos.

En el instituto James Monroe de North Hills, Kevin Mitnick ya no se limitaba a jugar con botones: empezó a hacer oficial su obsesión por la tecnología. Obtuvo una licencia de radioaficionado, primero con el indicativo WA6VPS, y después de la cárcel la renovó como N6NHG, como un auténtico operador de la vieja escuela. Al mismo tiempo, adoptó el seudónimo Cóndor, inspirado en el thriller de espionajeTresdías del Cóndor. Por supuesto, una película sobre conspiraciones, el gobierno y nombres cambiados: perfecto para un hacker en ciernes.

Su pasión infantil por la radio se convirtió en una auténtica adicción a los sistemas de comunicación.

En su emisora de radio, no escuchaba música, sino... a la policía local.

Captaba las emisiones, estudiaba las frecuencias, investigaba cómo funciona la comunicación, quién puede oír qué y cómo asegurarse de oír más de lo permitido. Su licencia de la FCC confirmaba que sabía lo que hacía. Pero la parte más interesante de su vida empezó cuando se introdujo en el phreaking telefónico, el arte de piratear los sistemas telefónicos mucho antes del iPhone. En aquella época, la principal herramienta de los piratas telefónicos era la llamada Blue Box, un dispositivo electrónico que produce tonos utilizados para generar tonos de señalización en banda que antes se utilizaban en la red telefónica de larga distancia. El aparato permitía hacer llamadas de larga distancia gratuitas.


Blue Box, diseñado y creado por Steve Wozniak (cofundador de Apple). Expuesta en el Museo Powerhouse. Ilustración: Вікіпедія

Un amigo le enseñó a Kevin que había números de prueba ocultos en la red telefónica que le permitían hacer llamadas de larga distancia gratuitas. Y aquí reconoció una vieja lógica familiar, la misma que con los billetes de autobús: hay un sistema, hay unas reglas, pero si sabes un poco cómo funcionan las cosas, puedes jugar de otra manera.

Mitnick describió el freakin' como un "deporte extremo". No es peor que escalar el Everest, sólo que no con cuerdas, sino con una pipa en la mano. Tenía 17 años y ya había aprendido a hacerse pasar por empleado de una compañía telefónica, inventándose el nombre de "Jake Roberts" en alguna "oficina no pública" y llamando a las oficinas haciéndose pasar por uno de los suyos. Hablaba técnicamente, con seguridad, con jerga. Y lo adivinaba todo: desde los procedimientos hasta la credulidad humana.

Así nació no sólo un hacker, sino un maestro de la ingeniería social.

Sus métodos -el pretexto, es decir, inventar una leyenda, la manipulación convincente y la improvisación intrépida- se convirtieron en la base de aquello por lo que se haría famoso más tarde en el mundo digital. Y lo más importante, en aquella época no le interesaba el dinero. Le impulsaba el reto intelectual, la pura emoción de piratear un sistema que se suponía inquebrantable.

Los primeros grandes hackeos y la primera traición

En 1979, cuando Kevin Mitnick sólo tenía 16 años, recibió su primera "misión de combate" seria de otros hackers: entrar en un sistema llamado"The Ark", propiedad de Digital Equipment Corporation (DEC). No se trataba de un simple servidor, sino que se utilizaba para probar el sistema operativo RSTS/E, uno de los sistemas mainframe más importantes del mundo en aquella época. Para los que vivían del hacking, era como entrar en la caja negra de la NASA.

El sistema se encargaba de realizar ciertas funciones administrativas. Kevin accedió a él a través del número de teléfono de El Arca, que le facilitó uno de sus nuevos amigos. Era una conexión telefónica a un ordenador DEC; el número en sí no servía de mucho, porque sin un nombre de usuario y una contraseña, sólo se podían escuchar los sonidos del módem. Pero las barreras técnicas no son problema de Kevin. Pone en marcha su característica ingeniería social: llama al administrador de DEC, se hace pasar por Anton Chernoff, el verdadero desarrollador de la empresa, y se queja: "Uy, se me ha olvidado el acceso". Todo es tranquilo, confiado, con énfasis en la autoridad. ¿El resultado? El administrador le crea una nueva cuenta e incluso utiliza la contraseña proporcionada por Mitnik. Sin comprobaciones. Sin preguntas.

Mitnik se conecta. Pero no se conecta solo, sino que comparte el acceso con su grupo. Y entonces los mismos tipos que incitaron el pirateo llaman a la puerta. Uno de ellos entrega a Kevin a la seguridad del DEC, les da su nombre y lo cuenta todo.

El DEC "pintó" inicialmente el daño en 4 millones de dólares, pero el fiscal federal James Sanders admitió más tarde que el coste real de arreglar el hackeo fue de unos 160.000 dólares.

Fue un momento de transición. Mitnick solía piratear líneas telefónicas, pero ahora pirateaba sistemas informáticos completos. Y no lo hacía por fallos o vulnerabilidades no detectados por los sistemas de seguridad, sino por la ingenuidad humana. En lugar de un pirateo técnico, era un ataque psicológico.

La ingeniería social se convirtió en su principal arma.

Y también fue su primera traición en un entorno que parecía vivir según el código de "no traicionas a los tuyos". Resultó que incluso en el mundo de los hackers hay quien hace un trato en cuanto huele algo frito. Y ese estatus en una subcultura es tan fluido como una dirección IP en una conexión telefónica.

El arresto y el estatus oficial de "adicto a la informática"

En 1981, cuando Kevin Mitnick tenía sólo 17 años, él y un amigo decidieron jugar no con alguna red escolar, sino con Pacific Bell, uno de los gigantes del mercado de las telecomunicaciones estadounidense. El objetivo era COSMOS, un sistema de gestión de la infraestructura principal de líneas telefónicas. Cuando consiguieron entrar, Mitnick no se limitó a rebotar comandos, sino que desvió líneas, escuchó llamadas, interrumpió rutas y sembró el caos. La gente pensaba que los operadores estaban jugando o burlándose. Pero no era más que Kevin, que exploraba el mundo de la red por el método del "qué pasaría si...".

No se detuvo ahí. Con acceso a la base de datos de COSMOS, Mitnik robó contraseñas, cuentas, combinaciones de puertas de enlace, documentación técnica e incluso el manual completo del sistema, algo por lo que los hackers actuales venden sus almas cibernéticas en la darknet. Por supuesto, no sólo lo utilizaba "para la ciencia", sino también para su propio beneficio: redirigía las líneas telefónicas a su antojo.

No se trataba de un simple pirateo, sino de una interferencia en toda regla en el trabajo del operador de telecomunicaciones a nivel del núcleo.

Y fue esta broma la primera que condujo a su detención. Fue la primera vez que Mitnik no fue pillado por las orejas, sino por su género, y pasó un año en un centro de rehabilitación. No era una cárcel, pero tampoco una simple "charla con sus padres". Mitnik no tuvo miedo: simplemente pasó a un nuevo nivel y siguió adelante. Ya había tenido otros "entrenamientos": hackear el sistema informático de la escuela, buscar números secretos de famosos. Pero la verdadera "subida de nivel" se produjo en 1983, cuando, mientras estudiaba en la Universidad de Carolina del Sur, se conectó a ARPANET, la misma red que más tarde se convertiría en la base de Internet. Y el ordenador, por supuesto, no pertenecía a nadie más que al Pentágono. Sí, entró en el ordenador del Departamento de Defensa de EE.UU. para "pasar el rato".

Este fue un delito más grave: 6 meses en un correccional de menores. Y aunque no hubo daño en términos de sabotaje, el sistema estatal finalmente se dio cuenta de que la excusa de "los hackers son sólo adolescentes jugando" ya no funciona. Porque estos "adolescentes" iban donde ni siquiera los adultos con acceso deberían ir.

La cosa se puso aún más seria después, cuando se produjo el hackeo de DEC.

El sistema judicial estaba aprendiendo a tratar con hackers en aquellos años, así que el proceso fue lento pero doloroso.

Mitnick llegó a un acuerdo con los investigadores, se declaró culpable y recibió 12 meses de prisión, más 3 años de libertad supervisada. Es una especie de arresto domiciliario digital: eres libre, pero tu ordenador está bajo control, tu actividad está limitada y te vigilan.

Durante la vista, el juez federal llegó a decir que Mitnick era"adicto a las intrusiones informáticas", como si no se tratara de un pasatiempo, sino de un diagnóstico clínico serio. Así, en lugar de "adicto a las series de televisión", dijo "adicto a los hackers".

Este caso se convirtió en el punto de entrada oficial de Mitnick en la historia legal de la ciberdelincuencia estadounidense. Su libertad supervisada debía terminar en 1992, y fue quizá la primera vez que el sistema judicial intentó crear un marco de comportamiento para una persona que no roba dinero ni vende datos, pero entra en lugares donde no está invitado. Y se droga con ello.

La demora entre el delito y el castigo demostró lo principal: en los 80, el sistema judicial iba años luz por detrás de los hackers, pero ya empezaba a ponerse al día.

2,5 años huyendo del FBI

En 1992, Kevin Mitnick ya debería haberse "calmado": había cumplido su condena, tres años bajo supervisión... era un broche de oro para la historia. Pero los libros no eran su género. En lugar de cumplir educadamente el periodo supervisado, volvió a piratear los sistemas de Pacific Bell, esta vez para comprobar cómo le controlaban. En otras palabras, hackeó el sistema para averiguar si le estaban vigilando porque no tenía derecho a hackearlo. Esto es lógica de hacker, no lógica legal. Y fue esta lógica la que llevó a que se emitiera una orden de arresto contra él en 1993.

Pero Mitnik decide no seguir las reglas. Desaparece del radar, y sus siguientes dos años y medio se convierten en una superproducción ciberpunk en tiempo real. Seudónimos, documentos falsificados, números de teléfono robados y falsos, teléfonos móviles clonados que hacen imposible localizarle. Trabaja con nombres falsos -como administrador de sistemas en un bufete de abogados de Denver, como informático en un hospital de Seattle bajo el nombre de Brian Merril- mientras sigue haciendo lo que mejor sabe: piratear sistemas.


Según Mitnick, le ayudó mucho que las autoridades estadounidenses utilizaran una foto muy mala que hacía difícil reconocerle en la vida real

Mientras las autoridades perseguían su sombra, Kevin consiguió piratear decenas de redes informáticas. Entre sus objetivos había empresas de telecomunicaciones, proveedores de Internet, fabricantes de sistemas operativos y gigantes de la telefonía móvil. La lista de los afectados incluye a: Motorola, Nokia, Novell, Sun Microsystems e incluso el Departamento de Vehículos a Motor de California. Leía los correos electrónicos de otras personas, extraía contraseñas, cambiaba la configuración de la red y -según el Departamento de Justicia estadounidense- robaba software valorado en millones de dólares. Esto incluía el código fuente del MicroTAC Ultra Lite, el teléfono móvil de gama alta de Motorola en 1991.

Cabe mencionar que Mitnick llegó a interferir en el funcionamiento de conmutadores de Nueva York y California, es decir, controló literalmente el tráfico telefónico de megaciudades desde la distancia. Y todo esto no fue por dinero, sino para demostrar que el sistema no es más que un conjunto de vulnerabilidades, y si las ves todas, eres el rey.

Su vida a la fuga no es una huida. Es una demostración. Una demostración de hasta dónde puede llegar una persona que no sólo sabe cómo funciona el sistema, sino que no cree en su autoridad. En los círculos de hackers, se convierte no sólo en un "profesional", sino en una leyenda que lo rompe todo, desde el código de leyes hasta el código del firmware.

Se acabó el juego: cómo atraparon a Kevin Mitnick a la 1:30 de la madrugada utilizando una torre de telefonía móvil

En febrero de 1995, el FBI decidió que este tipo estaba acabado. Comenzó una batalla cibernética a gran escala que duró dos semanas y terminó a la 1:30 de la madrugada del 15 de febrero en Raleigh, Carolina del Norte. Mitnick tenía entonces 31 años.

Kevin Mitnick no fue "filtrado" por la policía, ni por un agente de cine, sino por otro hacker, uno de los técnicos más poderosos de los años 90: Tsutomu Shimomura, un investigador del Centro de Supercomputación de San Diego que era sólo un año más joven que Mitnick. Mitnick, al estilo de un ciberyo clásico, se coló en su ordenador... justo el día de Navidad. Shimomura no se lo perdonó y participó personalmente en la caza. Rastreó la señal del teléfono de Mitnick a través de una torre de telefonía móvil y pasó las coordenadas al FBI.

Para los que quieran saber más: la pelea entre Mitnick y Shimomura

Tsutomu Shimomura

El día de Navidad de 1994, Kevin Mitnick pirateó la red doméstica de Tsutomu Shimomura, un conocido experto en seguridad informática. Utilizó una sofisticada técnica de suplantación de IP combinada con la predicción de secuencias TCP, una técnica que apenas había salido de los laboratorios en aquella época. Consiste en que un hacker disfraza su dirección para que parezca que alguien de confianza accede al sistema. Y luego, sin ver las respuestas del sistema, el hacker adivina el "código secreto" (un número en los mensajes que el sistema envía como respuesta). Es como forzar una caja fuerte eligiendo la combinación correcta sin oír el clic de la cerradura.

El objetivo del pirateo era probablemente la investigación de Shimomura y sus herramientas para trabajar con la seguridad de las redes celulares. El hecho de que Mitnick eligiera a Shimomura para el ataque no fue una coincidencia, sino un intento deliberado de obtener información muy específica.

Poco después del incidente, el contestador automático de Shimomura empezó a recibir mensajes extraños (su archivo está disponible en la página web del libro de Shimomura) con acento pseudoasiático y frases como "Mi kung fu es mejor que el tuyo". Estas amenazas se relacionaron inmediatamente con Mitnik, convirtiéndolo no sólo en un hacker, sino también en un audaz troll. Pero más tarde se supo que las llamadas eran obra de un bromista externo, Zeke Shif, de 31 años, aficionado a las películas de kung fu que no tenía nada que ver con el hackeo. Sin embargo, para entonces, los medios de comunicación ya habían conseguido que estas frases despectivas formaran parte del mito Mitnick.

Shimomura se tomó el ataque como un insulto personal y se lanzó a la caza. Desplegó un sistema de monitorización del tráfico de Internet en servicios en los que estaba implicado el hacker, como The WELL y Netcom. Utilizando sus propias herramientas, el análisis de registros y la cooperación con el operador de telecomunicaciones Sprint, descubrió que Mitnick utilizaba un módem móvil y señaló la región exacta de su actividad: la ciudad de Raleigh, en Carolina del Norte. Allí, junto con el FBI, Shimomura llevó a cabo la persecución final, utilizando escáneres de radiofrecuencia para localizar un apartamento concreto en un rascacielos.

La noche del 15 de febrero de 1995, el FBI, con la ayuda de Shimomura, registró el apartamento 202, donde se alojaba Mitnick.

Cuando los agentes entraron en el apartamento, encontraron todo lo que un hacker a la fuga podría necesitar: teléfonos móviles clonados, más de 100 códigos para números falsos, documentos falsos, nombres falsos y -como el propio Mitnick dijo más tarde- un sincero reconocimiento de la pericia técnica de Shimomura. No había rencores, sólo respeto entre dos jugadores, uno de los cuales había perdido.


Kevin Mitnick, esposado, entra en el tribunal estadounidense tras su detención. Ilustración: Herald Sun

Entonces comenzó el desfile de cargos:

  • 14 cargos de fraude electrónico
  • 8 casos de posesión de accesos y dispositivos ilegales
  • interceptación de comunicaciones electrónicas
  • acceso no autorizado a un ordenador federal
  • violación de las condiciones de la libertad provisional

Todo ello con el telón de fondo de las acusaciones de robo y copia de software en empresas como Motorola, Sun Microsystems, Nokia y Novell, entre otras.

El Departamento de Justicia de EE.UU. calcula que las pérdidas han alcanzado los millones de dólares.

Pero mientras los documentos judiciales lo hacían parecer un plan de fraude cibernético, el propio Mitnick insistía en que no era codicioso, sólo curioso intelectual. Le interesaba "si puedo hacerlo", no "cuánto voy a conseguir". Y parece que era cierto. No robaba dinero, no vendía cuentas. Sólo pirateaba redes por afán de lucro, no de lucro.

"Comprar libertad": cómo Kevin Mitnick salió de la cárcel, pero no del todo libre

Tras cuatro años en un centro de detención preventiva (sí, estuvo allí más tiempo del que algunas personas permanecen casadas), Mitnick llegó a un acuerdo con la fiscalía. ¿Por qué tardó tanto? Porque los fiscales sencillamente no podían probar todos los cargos: muchas acusaciones de alto perfil colgaban sin pruebas.

Como resultado: 4 cargos de fraude telefónico, 2 cargos de fraude informático y un cargo de interceptación de comunicaciones. Y todo esto en lugar de un espectáculo judicial a gran escala que estaba a punto de comenzar. Desde el punto de vista del fiscal, era un compromiso porque las pruebas eran "flojas". Por parte de Mitnik, era una oportunidad de no pudrirse en una celda hasta que se jubile.

Su detención y juicio se convirtieron en un acontecimiento nacional: algunos pedían castigos severos, mientras otros coreaban "Liberad a Kevin", subrayando que sus crímenes eran más acrobacias técnicas que auténticas atrocidades. Esto ha alimentado el debate: ¿qué es más importante, una amenaza o un desafío al sistema? ¿Y son todos los hackers criminales, o algunos de ellos sólo quieren entender cómo funciona el mundo a nivel de bytes?


Folleto "Free Kevin". Ilustración: mitnicksecurity.com

La juez Mariana Pfaelzer dictó sentencia el 10 de agosto de 1999: 46 meses de prisión (incluido el tiempo ya cumplido), más 22 meses por violar las condiciones de supervisión que se remontan a 1989. Un total de 5 años.

Y ahora lo mejor (si eres Mitnik): En lugar del millón y medio de dólares de indemnización que pedía la fiscalía, le dieron un modesto cheque de 4.125 dólares.

Evidentemente, el tribunal no creía en pérdidas míticas millonarias. O quizá simplemente reconoció que el tipo fingía ser un "hacker ladrón" más de lo que realmente era.

Cuando Kevin Mitnick salió finalmente de la prisión federal el 21 de enero de 2000, parecía un final feliz. Pero la libertad llegó con tal "acuerdo de licencia" que algunos usuarios ni siquiera hacen clic en los Términos y Condiciones. Durante los tres años de su libertad condicional, se le prohibió de hecho utilizar cualquier cosa que tuviera un procesador e incluso un pequeño parpadeo.

Sólo podía utilizar un teléfono fijo

Pero los teléfonos móviles, los ordenadores, los módems, las impresoras, el software, las memorias flash, las cajas registradoras y las calculadoras con memoria son tabú. ¿Trabajar en informática? Olvídelo. Ni siquiera le contratarían en una tienda 7-Eleven porque una caja registradora es un "aparato informático". Naturalmente, Mitnik no pudo soportar esta prisión digital y presentó una demanda, obteniendo permiso para utilizar Internet en diciembre de 2001. Más tarde, incluso recibió una licencia de radioaficionado, ya que la Comisión Federal de Comunicaciones le reconoció como "socialmente rehabilitado".

Como bonificación del sistema, se le aplicó una cláusula "tú no eres Hollywood": durante siete años, se le prohibió ganar dinero con libros, películas o cualquier contenido basado en sus aventuras de pirata informático, de acuerdo con la"Ley del Hijo de Sam", un truco legal estadounidense que prohíbe a los delincuentes ganar dinero con su fama. Es decir, si mataste a alguien, robaste un banco o hackeaste el Pentágono, y luego decidiste escribir un libro o hacer una película sobre ello, no puedes salir a ganar millones convirtiendo tu propia biografía en un modelo de negocio.

Para los que quieran saber más: "El mito de Kevin Mitnick"

de
John Markoff

En su autobiografía (que el editor se negó a incluir en el libro), Kevin Mitnick acusa al periodista de The New York Times John Markoff de distorsionar deliberadamente los hechos y crear la imagen de un "cibermonstruo" capaz de apagar la red telefónica con sólo pulsar un botón. Según Mitnick, gracias a esas exageraciones de los medios de comunicación se convirtió en "el hacker más peligroso de Estados Unidos" antes incluso de ir a juicio. Subraya que sus habilidades técnicas distaban mucho de ser mágicas, y las declaraciones de Markoff se han convertido en una fuente de mitos que no han hecho más que empeorar su situación legal.

Mitnick estaba especialmente indignado por el hecho de que Markoff fuera más tarde coautor del libro Takedown (del que también se hizo una película con el mismo nombre) con Tsutomu Shimura, el mismo experto que ayudó al FBI a localizar y detener al hacker. En opinión de Mitnick, se trataba de un evidente conflicto de intereses, porque el periodista no se limitaba a escribir sobre los hechos, sino que se convertía en parte de la historia que presentaba al público. En concreto, Mitnik escribió:

""En su difamatorio artículo, Markoff afirmó falsamente que yo había intervenido los teléfonos del FBI (no lo había hecho); que había entrado en los ordenadores del NORAD (que no están conectados a ninguna red del exterior); y que yo era un "vándalo" informático, a pesar de que nunca había dañado intencionadamente ningún ordenador al que hubiera accedido"".

En general, incluso después de su liberación, Mitnik fue tratado como una persona que podía romper algo con sólo una mirada. Y mientras algunos lo llamaban seguridad preventiva, otros lo veían como acoso digital con el prefijo "analógico".

De hacker a defensor de los hackers: cómo Kevin Mitnick se convirtió en consultor de ciberseguridad

Tras salir de la cárcel en enero de 2000, Kevin Mitnick no se limitó a reincorporarse al mundo digital, sino que lo hizo con tal estruendo que los hackers echaron mano de sus routers. En lugar de nuevos hackeos, empezó a "romper" sistemas legalmente, pero por dinero, con contratos, acuerdos de confidencialidad y presentaciones en PowerPoint.


El hacker Adrian Lamo (detenido en 2003), Kevin Mitnick y el hacker Kevin Poulsen (excarcelado en 1996) - foto de alrededor de 2001. Ilustración: Вікіпедія

En 2003, Mitnick fundó su propia empresa , Mitnick Security Consulting, LLC, y se convirtió oficialmente en un quebradero de cabeza para las redes corporativas mal protegidas. Su equipo, el "Global Ghost Team", realizaba pruebas de penetración, pruebas de ingeniería social, análisis de incidentes y auditorías de vulnerabilidad. Y, como presumían, tenían una tasa de éxito del 100% en las pruebas de credulidad humana. Traducido, si tienes una oficina, una sala de correo y gente, Mitnick sabe cómo hacerte pasar por tu recepción con un simple y educado "Hola, soy del servicio técnico".


Kevin Mitnick, fundador de Mitnick Security Consulting. Ilustración: mitnicksecurity.com

En 2011, se convirtió en Chief Hacking Officer de KnowBe4, una empresa de formación en ciberalfabetización. Allí creó el curso Kevin Mitnick Security Awareness Training (KMSAT), que explicaba cómo evitar el phishing, el spam, los regalos troyanos de los "jefes" y los PDF mágicos que simulan ser facturas pero revelan una sorpresa al estilo ransomware.

Entre los clientes de Mitnick se cuentan empresas de Fortune 500, agencias gubernamentales e incluso tribunales, donde ha actuado como experto en casos de ciberdelincuencia. En lugar de un expediente policial, ahora tenía estudios de casos, una placa de orador y el título oficial de "el hombre que sabe cómo funciona desde dentro". Su transición del lado oscuro al lado luminoso demostró que incluso un antiguo hacker puede convertirse en alguien que enseñe a los demás cómo evitar ser hackeado, no sólo sistemáticamente, sino también psicológicamente.

Los libros de Kevin Mitnick parecen novelas de suspense

Además de piratear sistemas (ahora legales) y hablar en conferencias cibernéticas, Kevin Mitnick ha pirateado otro sistema: el sistema editorial. Sus libros los leen profesionales informáticos, ejecutivos y quienes simplemente quieren saber cómo evitar convertirse en "víctima de un inocente correo electrónico con el asunto 'Urgente, abrir'".

Con sus libros, Mitnick ha acercado el hacking a un público más amplio, sin esnobismo geek, pero con toda la profundidad del tema. Porque cuando alguien que solía andar con cortafuegos para burlar la ley te lo cuenta, no es sólo información, es experiencia de primera mano.

El arte del engaño

En 2002, Mitnick publicó su primer libro, y quizá el más famoso, El arte del engaño. En él, Mitnick no sólo hablaba de ingeniería social, sino que también mostraba lo fácil que es engañar a una persona si se sabe qué botones pulsar. Todo ello a través de historias ficticias pero realistas que asustan incluso a usuarios experimentados. Y, lo más importante, no sólo historias que asustan, sino consejos concretos sobre cómo resistirse a todo ello.

El arte de la invasión

En 2005, Mitnick fue un paso más allá y publicó El arte de la intrusión, una recopilación de casos reales: cómo penetraban los hackers en los sistemas, qué hacían y qué esperar si tu seguridad está al nivel de "quién nos va a hackear". Era una guía práctica para quienes no quieren acabar en una lista similar de "víctimas de las aventuras del hacker #XYZ".

Un fantasma en los cables

En 2011, publicamos lo que todos los fans estaban esperando: la autobiografía Ghost in the Wires. Es como una película en formato libro: sobre sus hackeos, escapadas, trucos, tribunales, el FBI y un cambio de vida total. Una historia al estilo de "era el hacker más peligroso - se convirtió en Bestseller del New York Times".

El arte de la invisibilidad

Y por último, en 2017, El arte de la invisibilidad. Se trata de una guía para aquellos que quieren pasar desapercibidos en el mundo digital: cómo no aparecer en Internet, proteger tu privacidad, no captar anuncios de calcetines tras una mención en una conversación y no convertirte en presa de los ciberacosadores.

De antagonista a arquitecto de la seguridad

Desde que salió de las sombras, Kevin Mitnick no sólo ha escrito libros y asesorado a empresas, sino que también ha agotado audiencias como conferenciante público. Pero no era una especie de "pulse F5 para refrescar sus conocimientos". Sus charlas eran como una auténtica película en directo: con hacks, demostraciones y phishing en vivo que hacían sudar incluso a los profesionales de TI más experimentados.

Mitnick ha actuado con regularidad en eventos de primer nivel, como la legendaria DEF CON, una conferencia que reúne desde hackers blancos hasta personas vestidas de negro que no reconocen el botón "cerrar sesión". Allí, su presencia a veces causaba controversia: alguien que una vez hackeó el Pentágono mostraba cómo configurar un antivirus. Pero se mostró confiado y demostró que quién mejor que un antiguo hacker para mostrarte exactamente dónde está desprotegido el horno de tu centro de datos.


Kevin Mitnick da una presentación en el evento Cyber Incursion en 2018. Ilustración: mitnicksecurity.com

Su especialidad son las demostraciones en directo de hackeos: cómo robar una contraseña a través de un correo electrónico de phishing en un minuto, o cómo hacer que un administrador dé acceso a todo con una simple llamada. El público reaccionó de forma inequívoca: primero risas, luego pánico, después ponerlo todo en la lista de comprobación para el lunes.

Estos discursos acercaron el complejo y habitualmente aburrido tema de la ciberseguridad al común de los mortales. Mitnick no sólo asustaba, sino que explicaba, mostraba y enseñaba. También demostró que un antiguo hacker no sólo puede piratear, sino también generar confianza, un sistema de seguridad e incluso una carrera en el escenario con un puntero láser en la mano. He aquí una de esas demostraciones de su canal oficial de YouTube. En el vídeo de 2021, demuestra cómo consiguió acceder a la oficina del banco utilizando una tarjeta de acceso clonada (y cómo la clonó mediante técnicas de ingeniería social concertando una reunión con un agente inmobiliario que tenía una tarjeta de acceso y trabajaba en el mismo rascacielos que el banco):

El 16 de julio de 2023, a la edad de 59 años, Kevin Mitnick perdió su batalla contra el cáncer de páncreas - y con él se fue una era. Una era en la que un hacker con mala reputación se convirtió en un evangelista de la ciberhigiene, y la ingeniería social dejó de ser sólo una herramienta de ataque para convertirse en un tema de formación corporativa.

Desde su juventud, Mitnick ha demostrado que el principal agujero de cualquier defensa no es el software, sino una persona.

Sus hacks, como la penetración en el legendario sistema DEC Ark, abrieron los ojos a muchas empresas: no todo acaba con un antivirus y un cortafuegos. La ingeniería social se ha convertido en el arma principal -y al mismo tiempo en el talón de Aquiles- de corporaciones enteras. Gracias a sus casos, este término ha dejado de ser algo de nicho para convertirse en un tema imprescindible para cualquiera que maneje al menos un microondas conectado a Wi-Fi.

Sus formaciones, libros y discursos han sentado las bases de una nueva actitud hacia los hackers: no sólo como una amenaza, sino como un recurso potencial. Su vida es ahora un ejemplo de transformación digital: de hombre temido por los profesionales informáticos y los jueces a experto escuchado por los CISO y los directores generales. Y Mitnick demostró que, aunque alguna vez hayas sido un "caballero oscuro de los terminales", eso no es una condena. Si sabes piratear un sistema, puedes enseñar a protegerlo.

Conclusión.

Mitnick seguirá siendo para siempre uno de los personajes más influyentes de la historia de la ciberseguridad. Demostró que la mayor vulnerabilidad de cualquier sistema es una persona con una placa y acceso a la red interna. Su trabajo en Mitnick Security Consulting y KnowBe4 sigue marcando la pauta en formación y protección en ingeniería social. No deja de ser irónico que el mismo hacker que una vez rodeó con sus brazos estos sistemas ayudara después a reforzarlos.

Sus libros, desde El arte del engaño hasta El arte de la invisibilidad, no son meras guías, sino un arma de mesa contra la ingenuidad digital. Ofrecen una visión de la mentalidad de un hacker, no de las películas de Hollywood, sino de la realidad, donde hacer clic en "sí" a un correo electrónico falso puede suponer perder algo más que archivos.

Mitnick dejó tras de sí un legado complejo pero importante. Fue un antagonista, un mentor y un símbolo de que incluso el hacker más peligroso puede reiniciarse y convertirse en un aliado en la lucha contra el caos digital. Su vida es un recordatorio de que la ciberseguridad no sólo tiene que ver con la tecnología, sino sobre todo con las personas. Y la lucha por ella continúa.

Para los que quieran saber más

© 2007—2025 gagadget.com