Alguien hackeó a la NASA varias veces. La respuesta de la agencia fue totalmente inesperada: un regalo

Cuando existe un agujero de seguridad en un sistema, un hacker tiene tres formas de proceder: aprovecharlo para beneficio propio o para una causa, encontrar una solución para después informar sobre ello o, simplemente, no hacer nada. Muchas grandes compañías cuentan con programa de recompensas para aquellos que encuentren vulnerabilidades, mientras que otras prefieren ofrecer un reconocimiento cordial, como es el caso de la NASA.

Conocido en redes como ‘7h3h4ckv157’, ya es la segunda vez que hackea a la NASA para encontrar vulnerabilidades en sus sistemas e informar de ello a la agencia. Como reconocimiento de su labor, la agencia le envió una carta agradeciendo lo que hizo firmada por Mike Witt, responsable superior de seguridad de la información de la NASA.

Hackeó la NASA, Google, Apple y X

No es la primera vez que este hacker encuentra vulnerabilidades para grandes compañías y agencias. En su palmarés se encuentran algunas como Google, Apple, X, y ahora la NASA, agencia en la que se ha adentrado varias veces en sus sistemas.

La anterior tuvo lugar en 2022, cuando realizó un informe acerca de una vulnerabilidad en el sitio web de la NASA. Aquí, utilizó la técnica Cross-Site Scripting (XSS), un ataque que permite a los hackers ejecutar código malicioso en el navegador de otra persona.

Según informaba aquel año el hacker, existen tres variantes de XSS: XSS reflejado, XSS almacenado y basado en DOM, cada uno con diferentes formas de ataque y niveles de peligrosidad. Aunque se esperaría que la seguridad de la NASA fuera muy alta, el autor encontró que era vulnerable como muchas otras organizaciones.

Aprovechando esta técnica, se dio cuenta de que la página de la NASA no manejaba correctamente los datos que los usuarios introducían (como en formularios o campos de búsqueda). En lugar de texto normal, un hacker puede enviar código malicioso, que la página web refleja o almacena. Luego, cuando otra persona visita la web, ese código se ejecuta en su navegador sin darse cuenta. Esto podría permitir al hacker robar información, como contraseñas o datos privados, o controlar la cuenta de la víctima.

Aquella vez, el hacker no obtuvo reconocimiento ni recompensa alguna por parte de la NASA, según escribía en su blog. Sin embargo, para esta última ocasión, la NASA le envió una carta firmada en agradecimiento por su labor para mejorar la seguridad de la agencia. El hacker publicó la prueba a través de su cuenta en X, aunque aún no ha ofrecido detalles sobre esta nueva vulnerabilidad.

Que aún no se sepa el tipo de vulnerabilidad encontrada recientemente en los sistemas de la NASA no es extraño, pues debe pasar un tiempo hasta que se cercioren de que está resuelto para que otras personas no puedan aprovechar el agujero de seguridad. Es posible que algún día el hacker escriba cuál fue el problema en su blog, aunque para ello tendremos que esperar.

Imagen de portada | Space Foundation

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo