Cuando existe un agujero de seguridad en un sistema, un hacker puede actuar de diversas maneras. Puede aprovecharlo para beneficio propio, encontrar una solución y reportarla, o simplemente no hacer nada. Muchas grandes compañías, como la NASA, cuentan con programas de recompensas para quienes descubren vulnerabilidades.
Conocido en redes como ‘7h3h4ckv157’, este hacker ha hackeado a la NASA en varias ocasiones. En su última incursión, la agencia le envió una carta de agradecimiento firmada por Mike Witt, responsable de seguridad de la información. Este hacker también ha encontrado vulnerabilidades en otras grandes empresas como Google y Apple.
En 2022, el hacker ya había realizado un informe sobre una vulnerabilidad en el sitio web de la NASA, utilizando la técnica de Cross-Site Scripting (XSS). Esta técnica permite a los hackers ejecutar código malicioso en el navegador de otra persona. Existen tres variantes de XSS: reflejado, almacenado y basado en DOM, cada una con diferentes niveles de peligrosidad.
A pesar de que se esperaría que la seguridad de la NASA fuera alta, el hacker descubrió que era vulnerable. Al no manejar correctamente los datos introducidos por los usuarios, la página permitía que un hacker enviara código malicioso. Esto podría llevar al robo de información sensible o al control de cuentas ajenas.
En su primera incursión, el hacker no recibió reconocimiento ni recompensa, pero en esta ocasión, la NASA le agradeció su labor. Aunque aún no se han revelado detalles sobre la nueva vulnerabilidad, es habitual que se mantenga en secreto hasta que se solucione el problema.
Imagen: Space Foundation
