En el mundo de la ciberseguridad, los hackers éticos juegan un papel crucial al identificar vulnerabilidades antes de que los actores malintencionados las exploten. Muchas organizaciones tienen programas de recompensas para estos investigadores, pero a veces el reconocimiento viene en formas más simbólicas que monetarias. Este es el caso de un hacker conocido como ‘7h3h4ckv157’, quien recientemente volvió a demostrar que incluso las agencias más prestigiosas como la NASA pueden tener puntos débiles en su seguridad digital.
En 2022, este hacker descubrió una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el sitio web de la NASA. Esta técnica permite ejecutar código malicioso en el navegador de otros usuarios cuando visitan páginas web comprometidas. El problema radicaba en que la NASA no manejaba correctamente los datos que los usuarios introducían en formularios y campos de búsqueda, permitiendo que código dañino se reflejara o almacenara en el sistema. A pesar de reportar este fallo de seguridad, el hacker no recibió ningún tipo de recompensa o reconocimiento formal en aquel momento.
Recientemente, ‘7h3h4ckv157’ repitió la hazaña y encontró otra vulnerabilidad en los sistemas de la NASA. Esta vez, la agencia espacial respondió de manera diferente: envió una carta firmada por Mike Witt, responsable superior de seguridad de la información, agradeciendo su contribución para mejorar la seguridad de la organización. Aunque aún no se conocen los detalles específicos de esta nueva vulnerabilidad -lo cual es normal mientras se asegura que esté completamente resuelta- el hacker compartió la evidencia del reconocimiento a través de su cuenta en X.
Este caso nos hace reflexionar sobre la importancia de los programas de recompensas por vulnerabilidades y cómo las organizaciones, incluso las más avanzadas tecnológicamente, pueden beneficiarse de la comunidad de hackers éticos. La NASA, a pesar de su reputación de seguridad impecable, demostró ser vulnerable como muchas otras organizaciones, recordándonos que en ciberseguridad siempre hay espacio para mejorar y que la colaboración con investigadores externos puede ser invaluable para proteger nuestros sistemas digitales.