La ciberseguridad, una gran asignatura pendiente

En una nota publicada el jueves 16 de octubre en ´El País, México´, el periodista Andrés Rodríguez refiere cómo desde la azotea de un edificio universitario, en el barrio costero de La Jolla, en San Diego (al sur de California), con una antena parabólica, un motor de posicionamiento y una tarjeta sintonizadora de televisión para capturar datos sin procesar, un equipo de investigadores de la Universidad de California y la Universidad de Maryland consiguió acceder a información sin encriptar de satélites en México, del Gobierno y la Guardia Nacional, de la Comisión Federal de Electricidad (CFE) y de empresas como Walmart México, Telmex y el Banco Santander.

Ello fue posible con un equipo cuyo valor estimado asciende a 650 dólares. Wendy Morty Zhang, Annie Dai, Keegan Ryan, Dave Levin, Nadia Heninger y Aaron Schulman son autores del artículo científico "Don´t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites" -en castellano: "No mires hacia arriba: hay enlaces internos disponibles en los satélites GEO", publicado el 13 de octubre en el sitio web de Benton Institute for Broadband & Society.

El texto, resultado de la investigación realizada por los referidos investigadores puede ser descargado aquí: https://satcom.sysnet.ucsd.edu/docs/dontlookup_ccs25_fullpaper.pdf

El objetivo central del estudio permitió demostrar la viabilidad de un atacante cuyo objetivo sea observar el tráfico satelital visible desde su posición, escaneando pasivamente tantas transmisiones GEO como sea posible desde un único punto estratégico en la Tierra.

El texto fue incluido en las actas del 2025 ACM SIGSAC Conference on Computer and Communications Security (CCS ´25), en Taipei, Taiwán. Los autores señalan: "descubrimos que el 50% de los enlaces GEO contenían tráfico IP sin cifrar; si bien el cifrado de la capa de enlace ha sido una práctica estándar en la televisión por satélite durante décadas, los enlaces IP generalmente carecían de cifrado tanto en la capa de enlace como en la de red.

"Esto nos brinda una perspectiva única de las prácticas de seguridad de la red interna de estas organizaciones. Observamos tráfico de retorno celular no cifrado de varios proveedores, incluidos contenidos de llamadas y texto sin cifrar, programación de tareas y sistemas de control industrial para infraestructura de servicios públicos, seguimiento de activos militares, investigación y desarrollo".

En los satélites GEO hay abundantes datos de texto sin cifrar. Los autores de la investigación indican haber observado "cantidades significativas de tráfico de red interna altamente sensible que se transmite sin cifrar a amplias zonas de Norteamérica. La gravedad de nuestros hallazgos sugiere que estas organizaciones no supervisan rutinariamente la seguridad de sus propios enlaces de comunicación satelital".

México, en realidad no era el objeto de la investigación, simplemente representó uno de los casos analizados. Por ejemplo, respecto a la red de retorno celular de AT&T México, los investigadores refieren: "observamos tráfico de red de retorno celular sin cifrar, que incluía metadatos de protocolo y protocolos de señalización de red celular, así como tráfico de internet sin procesar del usuario.

"En este transpondedor, no observamos llamadas ni SMS sin cifrar, ni túneles IPsec que pudieran contener estos datos. Nuestro análisis identificó un haz satelital que transportaba tráfico de AT&T México sin cifrar, que se pudo recibir en gran parte de Norteamérica".

Telmex también transmitía las llamadas de sus usuarios sin cifrar. "Este tráfico incluía llamadas no cifradas, SMS [mensajes de texto], tráfico de Internet de usuarios finales, identificaciones de hardware [equipos] y claves de cifrado de comunicaciones celulares. Cuando descubrimos inesperadamente comunicaciones de voz y SMS sin cifrar en nuestros datos, interrumpimos la recopilación. Ciframos los datos relevantes y volvimos a consultar con nuestros abogados, quienes facilitaron la divulgación a los proveedores afectados".

Sobre el tráfico de la red interna de Walmart-México, señalan que una herramienta interna de gestión de inventario permite el seguimiento de existencias, la actualización de precios y la gestión de las operaciones de la tienda mediante datos en tiempo real.

"Identificamos tres haces satelitales que transportaban tráfico interno del sistema Walmart-México sin cifrar, que podía recibirse en Norteamérica (...) El tráfico interno de red más importante incluye: inicios de sesión mediante Telnet sin cifrar a su sistema de gestión de inventario, incluyendo credenciales de texto sin formato, texto de la interfaz de usuario del terminal y resúmenes de factura, registros de inventario transferidos y actualizados mediante FTP sin cifrar, correos electrónicos corporativos internos sin cifrar, equipo informático interno NetBIOS sin cifrar".

En Grupo Santander México identificaron tráfico no cifrado proveniente de las redes internas "que se transmitía a través de un transpondedor satelital que utiliza DVB-S2 seguido de encapsulación GSE con fragmentación 6/2 que transportaba tráfico IP. El tráfico sugiere que Grupo Santander México depende del satélite para la conectividad de sucursales remotas, cajeros automáticos e infraestructura interna. Las direcciones IP de los paquetes resueltos se encuentran dentro de los bloques asignados por Telmex".

Respecto a Banjército y Banorte, "identificamos un extenso tráfico satelital sin cifrar, vinculado a la infraestructura interna de ambos bancos, que se transmitía a través de un transpondedor satelital mediante DVB-S2, seguido de encapsulación GSE con fragmentación 6/2 que transportaba tráfico IP. Los rangos de IP de destino se encontraban dentro del rango de direcciones internas/privadas utilizado por Banjército. El tráfico de texto plano incluía respuestas DNS para dominios vinculados a operaciones financieras, cajeros automáticos y terminales POS, y autenticación CLDAP y LDAP".