Antonio Fernandes y Roberto Fernández se «picaron» a ver quién lograba primero descubrir un fallo de seguridad en la web de la agencia espacial. Empataron y el cuartel general de Washington les felicitó a ambos
28 ago 2024 . Actualizado a las 23:07 h.Un jáquer de Vigo y otro de Arbo se picaron a ver quién de los dos conseguía descubrir y reportar un fallo de ciberseguridad en la NASA, uno de los organismos aeroespaciales más vigilados del mundo. Ambos expertos informáticos lo lograron, dieron la alerta y la agencia espacial norteamericana les acaba de enviar una carta de agradecimiento a cada uno por sus servicios prestados. «Era como un reto personal entre los dos, como competencia sana. Cierto es que, al final, acabamos empatados. Tendremos que proponernos otra apuesta de estas», afirma el vigués Antonio Fernandes.
Dicho especialista halló un fallo en una web de un centro de investigación de la NASA que «podría llegar a permitir el robo de credenciales de los usuarios para acceder a webs y sistemas del mismo. Ahora ya no les afecta».
Su colega arbense Roberto Fernández, actualmente residente en Madrid y conocido como Darkandroider, halló otra vulnerabilidad. Se trataba de un acceso a las cookies de sesión a través de una página de error en una aplicación con login.
La carta fue enviada en inglés desde el cuartel general Mary W. Jackson de la NASA, con sede en Washington. «Nos gustaría reconocer sus esfuerzos como investigador independiente de seguridad. Su habilidad para detectar y reportar una vulnerabilidad de seguridad es una valiosa destreza en el industria de la seguridad informática. Nos ha ayudado a proteger la integridad y disponibilidad de la información de la NASA», dice la misiva, sellada con el membrete oficial. Gracias a su acción, la agencia seguirá realizando avances en Ciencia, Educación y sostenibilidad de la Tierra, añade la misiva.
Roberto Fernández explica cómo surgió el reto. «Antonio me escribió comentándome: 'Bueno, qué, ¿un pique de quién saca antes un report de la NASA?', a lo que le respondí: '¡Venga ya!'. Pasados unos días, ambos identificamos casi de forma simultánea vulnerabilidades que fueron aceptadas, recibiendo el característico PDF de la NASA», relata.
Fernández aclara que el objetivo no fue obtener el PDF «sino más bien disfrutar del momento haciendo lo que nos gusta, picándonos y buscando vulnerabilidades en todos los subdominios». Su colega vigués es un «referente en ciberseguridad» tras conocerlo en una charla del 2019 en el foro RootedCon, que reúne a «cazarrecompensas» (ganan premios si reportan fallos de seguridad, el denominado Bug Bounty).
«La verdad es que no fue nada fácil, ¡tienen las cosas muy bien aseguradas en la NASA!», explica Fernandes. Tras su quehacer diario, «poco tiempo nos quedaba para este reto». «Aunque no puedo dedicarme todo lo que me gustaría a buscar fallos en empresas grandes después del trabajo, llevo ya unos cuantos años encontrándolos», dice. Suma reconocimientos públicos de Facebook, la Comisión Europea y el Departamento de Defensa de Estados Unidos. Colaboró en un proyecto piloto de la Agencia de Ciberseguridad de Cataluña.
La NASA tiene un programa público disponible para cualquier investigador. «Lo bueno a abrir programas de recompensa o Bug Bounty a los investigadores de todo el mundo es que tienes mil ojos velando por la seguridad de tu organización y poner solución lo antes posible a las vulnerabilidades», dice Fernandes. Actualmente, este informático está más centrado en lanzar una plataforma para que cualquier pyme cuente con el asesoramiento de expertos para llevar la ciberseguridad a sus negocios.