Hackeó la NASA para informar de los fallos de su web y no recibió recompensa alguna. Lo volvió a hacer y esta fue la respuesta

Cuando existe un agujero de seguridad en un sistema, un hacker tiene tres formas de proceder: aprovecharlo para beneficio propio o para una causa, encontrar una decisión para a posteriori informar sobre ello o, simplemente, no hacer mínimo. Muchas grandes compañías cuentan con software de recompensas para aquellos que encuentren vulnerabilidades, mientras que otras prefieren ofrecer un gratitud cordial, como es el caso de la NASA.

Conocido en redes como ‘7h3h4ckv157’, ya es la segunda vez que hackea a la NASA para encontrar vulnerabilidades en sus sistemas e informar de ello a la agencia. Como gratitud de su faena, la agencia le envió una carta agradeciendo lo que hizo firmada por Mike Witt, responsable superior de seguridad de la información de la NASA.

Hackeó la NASA, Google, Apple y X

No es la primera vez que este hacker encuentra vulnerabilidades para grandes compañías y agencias. En su palmarés se encuentran algunas como Google, Apple, X, y ahora la NASA, agencia en la que se ha adentrado varias veces en sus sistemas.

La inicial tuvo sitio en 2022, cuando realizó un informe acerca de una vulnerabilidad en el sitio web de la NASA. Aquí, utilizó la técnica Cross-Site Scripting (XSS), un ataque que permite a los hackers ejecutar código astuto en el navegador de otra persona.

Haz clic en la imagen para ir a la publicación

Según informaba aquel año el hacker, existen tres variantes de XSS: XSS reflejado, XSS almacenado y basado en DOM, cada uno con diferentes formas de ataque y niveles de peligrosidad. Aunque se esperaría que la seguridad de la NASA fuera muy entrada, el autor encontró que era abandonado como muchas otras organizaciones.

Aprovechando esta técnica, se dio cuenta de que la página de la NASA no manejaba correctamente los datos que los usuarios introducían (como en formularios o campos de búsqueda). En sitio de texto frecuente, un hacker puede expedir código astuto, que la página web refleja o almacena. Luego, cuando otra persona entrevista la web, ese código se ejecuta en su navegador sin darse cuenta. Esto podría permitir al hacker robar información, como contraseñas o datos privados, o controlar la cuenta de la víctima.

Aquella vez, el hacker no obtuvo gratitud ni retribución alguna por parte de la NASA, según escribía en su blog. Sin secuestro, para esta última ocasión, la NASA le envió una carta firmada en agradecimiento por su faena para mejorar la seguridad de la agencia. El hacker publicó la prueba a través de su cuenta en X, aunque aún no ha ofrecido detalles sobre esta nueva vulnerabilidad.

Que aún no se sepa el tipo de vulnerabilidad encontrada recientemente en los sistemas de la NASA no es extraño, pues debe advenir un tiempo hasta que se cercioren de que está resuelto para que otras personas no puedan utilizar el agujero de seguridad. Es posible que algún día el hacker escriba cuál fue el problema en su blog, aunque para ello tendremos que esperar.

Una traducción inicial de este artículo se publicó en 2024.

Imagen de portada | Space Foundation

En Genbeta | Un ingeniero senior full-stack trabajó cinco abriles en una empresa. Luego el CEO se enteró de que él y otros eran espías norcoreanos