Un hacker ético decidió aprovechar una vulnerabilidad en los sistemas de la NASA para dar con una solución y notificarla a la agencia. Sin embargo, su iniciativa no siempre ha sido recompensada como ocurre en otras compañías tecnológicas.

¿Qué hacen los hackers cuando encuentran un fallo?

Ante un agujero de seguridad, existen tres posibles caminos: explotarlo para beneficio propio, solucionarlo y reportarlo, o simplemente ignorarlo. Muchas empresas de gran tamaño cuentan con programas de recompensas para quienes descubren estos fallos, mientras que otras, como la NASA, prefieren ofrecer solo un reconocimiento formal.

El caso del hacker 7h3h4ckv157

Conocido en redes como ‘7h3h4ckv157’, ya es la segunda vez que logra detectar vulnerabilidades en los sistemas de la NASA. En esta ocasión, la agencia respondió con una carta firmada por Mike Witt, director de seguridad de la información, agradeciendo su contribución.

Un historial con gigantes tecnológicos

El recorrido de este hacker no se limita a la NASA. En su historial también figuran Google, Apple y X, todas ellas compañías a las que ha reportado vulnerabilidades críticas en el pasado.

La primera vez: 2022 y el ataque XSS

Su primer hallazgo con la NASA ocurrió en 2022, cuando documentó una vulnerabilidad en su sitio web mediante la técnica Cross-Site Scripting (XSS). Este método permite a un atacante insertar código malicioso en el navegador de la víctima a través de formularios o búsquedas en la web.

• XSS reflejado: el código se ejecuta inmediatamente en la respuesta del servidor.
• XSS almacenado: el código queda guardado en el sistema y se activa cuando otros usuarios acceden.
• XSS basado en DOM: aprovecha fallos en el manejo de datos por parte del navegador.

En su informe, el hacker explicó que incluso una agencia como la NASA podía ser vulnerable si no validaba correctamente los datos introducidos por los usuarios. Esto permitiría a un atacante robar credenciales, datos sensibles o incluso tomar control de una cuenta ajena.

De la indiferencia al reconocimiento

Aquella primera vez no obtuvo ninguna recompensa ni mención pública. Sin embargo, en esta segunda ocasión la NASA optó por agradecer formalmente su labor con una carta oficial, aunque aún no se conocen los detalles de la nueva vulnerabilidad detectada.

¿Cuál fue el último fallo descubierto?

El tipo de vulnerabilidad reciente sigue siendo un misterio, algo normal ya que este tipo de información suele mantenerse en secreto hasta que la agencia confirma que el fallo ha sido completamente resuelto. Es probable que, como ya hizo en 2022, el hacker publique un informe detallado en su blog cuando sea seguro hacerlo.

Por ahora, solo queda esperar a que el propio 7h3h4ckv157 comparta más información. ¿Revelará pronto qué error encontró en los sistemas de la NASA? El tiempo lo dirá.