Brasileño revela cómo logró hackear la NASA: su acción terminó siendo reconocida por la agencia espacial

Un especialista brasileño en ciberseguridad logró detectar fallas críticas en sistemas digitales de la NASA y, tras meses de insistencia, recibió un reconocimiento oficial por parte de la agencia espacial estadounidense.

Se trata de Carlos Eduardo Zambelli Aloi, de 38 años, quien durante gran parte de 2025 identificó vulnerabilidades que permitían acceder a documentos internos y datos sensibles. Aunque no obtuvo ninguna recompensa económica, su trabajo fue validado y le entregaron una carta de agradecimiento.

El reconocimiento llegó en noviembre de 2025, cuando la agencia confirmó dos de las 26 fallas reportadas por el investigador brasileño. En uno de los casos, Carlos Eduardo afirma haber accedido a un documento de Google Docs con un artículo científico que debía estar restringido exclusivamente a empleados de la NASA.

En otro, logró visualizar información confidencial, incluidas contraseñas y datos de infraestructura interna. La agencia optó por no dar detalles sobre los hallazgos, alegando motivos de seguridad, pero confirmó que mantiene activo un programa de divulgación responsable de vulnerabilidades abierto a investigadores externos.

La historia detrás del reconocimiento estuvo lejos de ser sencilla. El propio Carlos Eduardo describe el proceso como “frustrante y muy irritante”. Según relató, muchos de los reportes enviados inicialmente no fueron aceptados o quedaron semanas sin respuesta.

En algunos casos, la retroalimentación solo llegó después de que las fallas ya habían sido corregidas por la agencia, lo que aumentó la sensación de desgaste tras horas de trabajo técnico.

Los esfuerzos comenzaron a mediados de 2025 y se intensificaron a partir de noviembre. Durante seis meses, el analista dedicó entre tres y cuatro horas diarias a las pruebas, generalmente por la noche, luego de su jornada laboral y de sus clases de posgrado en ciberseguridad ofensiva.

El objetivo era identificar puntos débiles en la infraestructura digital de la NASA utilizando técnicas de reconocimiento y enumeración, habituales en pruebas de penetración.

En la primera vulnerabilidad reconocida, Carlos Eduardo asegura haber accedido a directorios restringidos y manipulado identificadores de inicio de sesión para descargar documentos internos. Incluso obtuvo permisos de edición sobre un archivo almacenado en Google Drive.

“Era un estudio sobre el viento solar y eventos magnéticos. Desde allí, podía insertar enlaces falsos y, potencialmente, robar credenciales”, explicó a G1. En la segunda falla, encontró una carpeta con repositorios del sistema, direcciones IP y credenciales de acceso utilizadas por la agencia.

El propio investigador describe el proceso como un avance progresivo. “Encuentras una laguna, la atraviesas y descubres otra. Es avanzar poco a poco hasta llegar a información muy sensible”, relató. Aun así, todos los accesos se realizaron dentro del marco de la divulgación responsable, sin explotar los datos ni difundir la información obtenida.

Carlos Eduardo reside en São Paulo y cuenta con más de 20 años de experiencia en tecnologías de la información, de los cuales cerca de una década está enfocada en ciberseguridad.

Actualmente trabaja como analista sénior de sistemas en una de las mayores redes de estacionamientos de Brasil. También ha participado en otros programas de recompensas por errores, algunos de los cuales sí contemplan compensaciones económicas.

En este caso, el objetivo era personal. Recibir una carta de reconocimiento de la NASA era una meta que se había propuesto desde hacía tiempo. El desafío también coincidió con un momento difícil en su vida: la muerte de su padre en octubre de 2025. Según explicó, concentrarse en las pruebas técnicas le permitió sobrellevar el duelo.

La carta fue emitida a nombre de “Kazam”, el alias que utiliza en comunidades de hackers, y destacó que su informe ayudó a proteger la integridad y disponibilidad de la información de la agencia. Además, su nombre fue incluido en el “salón de la fama” de la NASA en la plataforma Bugcrowd, el canal oficial que utiliza la agencia para recibir reportes de vulnerabilidades.

La NASA aclaró que no todos los informes derivan en este tipo de reconocimiento, ya que solo se otorga a fallas validadas y corregidas. Aun así, el caso de Carlos Eduardo se suma al de otros brasileños que lograron el mismo reconocimiento, y ha despertado interés entre profesionales que buscan participar en programas similares. Para él, el resultado confirma que va por el camino correcto en su carrera dentro de la ciberseguridad.