Los investigadores aseguran que la vulnerabilidad descubierta es realmente alarmante, ya que cualquier persona con una antena parabólica, un soporte motorizado y una tarjeta sintonizadora podría crear un dispositivo para acceder a información satelital que cubre hasta el 40% del planeta.
Un grupo de científicos conformado por investigadores de la Universidad de California en San Diego (UCSD) y la Universidad de Maryland (UMD) ha encendido las alarmas de ciberseguridad a nivel mundial tras revelar que utilizando un simple dispositivo casero, creado a base de una antena comercial, lograron interceptar señales satelitales sin cifrar que transmitían información confidencial de gobiernos, fuerzas de seguridad y grandes corporaciones a nivel global, incluyendo importantes organizaciones mexicanas como Telmex, CFE, Walmart y la Guardia Nacional.
¿Cómo descubrieron que los satélites transmiten información sin cifrar?
La investigación fue presentada en la conferencia de la Asociación para la Maquinaria de Computación (ACM) en Taiwán bajo el título “Don’t Look Up”. En el estudio, los investigadores explican que utilizando un receptor satelital desarrollado por ellos mismos mediante una antena parabólica de $200 dólares, un soporte motorizado y una tarjeta sintonizadora, instalado en la azotea de un edificio en La Jolla, California, lograron captar las transmisiones de múltiples satélites ubicados sobre América del Norte y parte del Pacífico.
De acuerdo con los investigadores, lo más sorprendente es que tan solo les bastaba con apuntar la antena en la dirección correcta para obtener llamadas telefónicas, mensajes de texto, tráfico de internet, información de infraestructura crítica e incluso comunicaciones militares de decenas de agencias gubernamentales y empresas.
De esta forma identificaron que aproximadamente la mitad de las señales emitidas por satélites geoestacionarios se transmiten sin ningún tipo de encriptación, lo que significa que son completamente vulnerables y dejan expuestos millones de datos en el aire.
“Nos impactó por completo ver que una infraestructura tan estratégica como la de los satélites seguía enviando datos sin cifrar”, declaró Aaron Schulman, profesor de la UCSD y codirector del estudio. Según el investigador, muchas compañías y agencias simplemente asumieron que nadie se tomaría el tiempo de “inspeccionar el tráfico satelital”.
Datos confidenciales de empresas e instituciones mexicanas al descubierto
Uno de los hallazgos más alarmantes del estudio es que México aparece como uno de los países más expuestos en la investigación. En primer lugar, los académicos descubrieron que gigantes de la telecomunicación como Telmex y AT&T México transmiten gran parte de su tráfico satelital sin protección alguna.
En el caso de Telmex, se trata principalmente de llamadas de voz sin cifrar, mientras que AT&T México envía datos de usuarios, metadatos de mensajes e incluso claves de descifrado que podrían permitir acceder a información más sensible vía satélites sin cifrado.
Otra entidad cuyos datos están expuestos en la red satelital es la Comisión Federal de Electricidad (CFE). Según los investigadores, en este caso se trata de comunicaciones internas no cifradas que incluyen órdenes de trabajo con nombres y direcciones de clientes, además de reportes sobre fallas y riesgos operativos. Esta vulnerabilidad representa un riesgo potencial para la infraestructura energética del país.
Adicionalmente, los investigadores también fueron capaces de interceptar las comunicaciones gubernamentales y militares de la Guardia Nacional, incluyendo transmisiones relacionadas con operaciones de vigilancia y rastreo de aeronaves como helicópteros Mi-17 y Black Hawk.
Los investigadores también identificaron que los datos corporativos de la filial mexicana de Walmart, así como las comunicaciones de los cajeros automáticos de Santander, Banjercito y Banorte tampoco están cifradas. Sin embargo, no profundizaron en qué tipo de información era la que estaba expuesta.
Investigadores preocupados por la falta de consciencia de las organizaciones
Tras obtener los resultados, los investigadores se comunicaron con las distintas empresas y organismos cuyos datos se encontraban comprometidos, con el fin de advertirles sobre la magnitud del problema.
AT&T México, por ejemplo, aseguró que ya ha solucionado el problema tras detectar una configuración incorrecta en un número limitado de torres en zonas remotas del país. Sin embargo, Telmex, la CFE y la Guardia Nacional no respondieron a las solicitudes de los investigadores, por lo que se desconoce si han tomado medidas para reforzar su seguridad.
La falta de respuesta por parte de las organizaciones genera preocupación entre los especialistas debido a la sensibilidad de la información que circula por estos canales. Para los investigadores, este hallazgo no solo pone en evidencia la vulnerabilidad de las comunicaciones satelitales, sino también la falta de una cultura de ciberseguridad sólida en torno a una infraestructura que sostiene parte del funcionamiento de gobiernos y corporaciones.
Finalmente, los investigadores advirtieron que replicar su experimento es tan sumamente sencillo que básicamente cualquiera con los conocimientos técnicos básicos y menos de mil dólares en equipo puede hacerlo, por lo que aseguran que es urgente que las organizaciones comiencen a cifrar sus redes satelitales antes de que actores malintencionados aprovechen esta vulnerabilidad.
