No suelo tratar temas así, pero en esta ocasión la cuestión me ha llamado bastante la atención. Los satélites artificiales suelen aparecer en la prensa, o en las películas, como artefactos casi mágicos, dispositivos remotos que sólo manejan gobiernos y grandes corporaciones. En realidad, y muy al contrario, buena parte de nuestra vida diaria rebota constantemente en ellos, desde llamadas entre pueblos remotos, transacciones de un cajero automático en cualquier lugar, correos corporativos de una cadena de supermercados, telemetría de una red eléctrica, hasta incluso el navegador del avión en el que se puede tener conexión a Internet. A lo que voy, tal como acaba de demostrar un grupo de investigadores de la Universidad de California en San Diego y de la Universidad de Maryland, hay una fracción nada trivial de todo eso que viaja por el cielo prácticamente «desnuda», sin cifrar, como si nadie pudiera tener la descortesía de mirar hacia arriba.
Ese trabajo, que ha sido mencionado en multitud de medios, se titula, con bastante intención: Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites (algo así como No mires hacia arriba: hay enlaces internos confidenciales a la vista en los satélites geoestacionarios) y se presentará en la conferencia ACM CCS, uno de los foros más importantes en seguridad informática. La idea de partida era aparentemente inocua, a saber, observar de forma sistemática cómo se cifran las comunicaciones que pasan por satélites geoestacionarios, esos que “cuelgan” sobre un mismo punto de la Tierra y funcionan como repetidores de gran alcance para conectar infraestructuras remotas. La ejecución, en cambio, fue de todo menos trivial. Durante varios años, el equipo analizó el tráfico IP procedente de 39 satélites geoestacionarios «visibles» desde una azotea en San Diego, y descubrió que aproximadamente la mitad de los enlaces con tráfico de datos que observaron transmitían información sin cifrar a nivel de enlace ni de red.
Lo más llamativo es que no hicieron falta antenas raras ni un laboratorio secreto. Con una parabólica Ku-band, un cabezal LNB corriente, una tarjeta de recepción DVB-S2(X) de tipo comercial y unos cuantos cables, es decir, con un montaje en el rango de los 700 euros, replicable por cualquier aficionado un poco persistente, pudieron “escuchar” el downlink de esos satélites. El experimento fue estrictamente pasivo, no emitieron, no intentaron romper claves ni entrar en sistemas, se limitaron a recibir lo que ya estaba siendo radiado. A partir de ahí, el resto fue trabajo de ingeniería inversa, esto es, de intentar localizar transpondedores activos, reconstruir paquetes IP y clasificar qué tipo de redes y servicios estaban viajando literalmente por encima de sus cabezas.
El resultado es una especie de radiografía accidental de un trozo de las comunicaciones globales. Entre los datos que lograron interceptar sin romper ningún cifrado figuran comunicaciones de backhaul de varios operadores móviles (T-Mobile, AT&T México y Telmex, entre otros) en las que aparecían metadatos de miles de llamadas y mensajes de texto, e incluso audio de algunas conversaciones cuando el tramo satelital no estaba protegido. También identificaron tráfico interno de grandes empresas y bancos, como Walmart México, Santander México y otros, con correos, registros de inventario y datos de la red de cajeros automáticos viajando en texto claro. A eso se suman enlaces de infraestructuras críticas, como compañías eléctricas y redes de gas, comunicaciones de wifi en vuelo de varias aerolíneas, así como transmisiones relacionadas con barcos y unidades militares de Estados Unidos y México, incluyendo información de posicionamiento, operaciones contra el narcotráfico y registros de mantenimiento de equipamiento.
Para entender por qué todo esto es posible, hace falta recordar un detalle físico que a menudo se pasa por alto. Un satélite geoestacionario no es un cable, es una fuente de radio. El enlace de subida, desde la antena terrestre hasta el satélite, va muy concentrado y solo “lo ve” el satélite. Pero el enlace de bajada, el downlink, se difunde sobre una gran huella geográfica. Cualquier antena dentro de esa huella, apuntando al mismo satélite y transpondedor, puede recibir la misma señal que está destinada a una estación concreta. Durante años, la industria pareció confiar en que esa combinación de distancia, coste del equipo y cierta especialización técnica ofrecía una especie de seguridad por oscuridad (algo así como un ¿quién va a intentar algo tan complicado?). El estudio demuestra que esa suposición ha quedado obsoleta. Con hardware modesto y un poco de paciencia se puede observar, desde un solo tejado, una fracción significativa del tráfico interno de medio mundo.
Pero claro, tampoco hay que pasar a pensar que “todo lo que pasa por satélite está a la vista”. Los autores son muy cuidadosos con sus límites. Sólo ven el downlink, no la subida, sólo analizan satélites geoestacionarios visibles desde San Diego, lo que supone aproximadamente un 15 % de los satélites Ku-band en servicio y, dentro de lo que reciben, muchas comunicaciones ya viajan cifradas a nivel de aplicación mediante HTTPS u otros protocolos. En esos casos, el espía potencial no puede leer el contenido de un formulario web o de un mensaje de chat, pero sí obtiene metadatos valiosos, por ejemplo, qué dominios se visitan, desde qué direcciones IP, a qué horas, durante cuánto tiempo. El problema más grave se concentra en eslabones concretos de la cadena, como el backhaul satelital de torres móviles remotas, las redes corporativas interconectadas por satélite, los sistemas SCADA de infraestructuras críticas o las redes de cajeros automáticos que utilizan enlaces
¿Por qué, entonces, tantos enlaces de ese tipo siguen sin cifrado a estas alturas, cuando la palabra “ciberseguridad” se ha convertido en algo que se menciona a diario? Las razones son una mezcla de economía y costumbre. Durante décadas, el ancho de banda satelital fue caro y escaso. Meter cifrado a nivel de enlace significaba consumir bits adicionales y, potencialmente, degradar el servicio. Muchos equipos y licencias de software tratan el cifrado como un extra opcional, que hay que configurar y pagar. En algunos entornos remotos, donde la energía y la capacidad de cómputo son limitadas, la tentación de desactivarlo “temporalmente” para ganar algo de margen es fuerte y, una vez que la configuración funciona, nadie quiere tocarla. A todo ello se suma un problema de responsabilidad difusa. Entre el operador del satélite, el proveedor del servicio, el integrador local y el cliente final, no siempre está claro quién debe encargarse de que ese tramo concreto lleve una VPN, IPsec o cifrado de capa de enlace. Y por encima de todo, flotaba esa falsa sensación de anonimato cósmico, la idea de que, honestamente, nadie iba a ponerse a mirar.
El trabajo plantea además un dilema jurídico y ético interesante. Los investigadores se limitaron a recibir emisiones que ya estaban siendo radiadas sobre amplias regiones, pero en muchos países interceptar comunicaciones, aunque técnicamente no suponga “entrar” en ningún sistema, roza o cruza las líneas marcadas por las leyes de escuchas y protección de datos. Para sortear ese terreno complicado, el equipo anonimizó sistemáticamente la información de carácter personal, destruyó los datos una vez analizados y dedicó buena parte del proyecto a notificar de forma responsable a las organizaciones afectadas, ayudándoles a cerrar las fugas cuando fue posible. Un adversario real, naturalmente, no tendría esos reparos ni esa paciencia. La recomendación de fondo es bastante sencilla, aunque su aplicación práctica no lo sea tanto. Hay que dejar de tratar el enlace satelital como algo “especial” y empezar a verlo como lo que es, una red abierta equivalente a un wifi público de gran tamaño. En la práctica, eso implica superponer capas de defensa, como cifrado extremo a extremo en las aplicaciones, desde el navegador hasta la mensajería, túneles VPN o IPsec para cualquier enlace que transporte datos internos sensibles y, siempre que sea viable, cifrado también a nivel de enlace en los equipos satelitales. En paralelo, los reguladores y las propias empresas del sector tendrían que asumir que la seguridad por oscuridad ya no es un modelo aceptable y que, igual que se exigen ciertos mínimos a redes móviles o de fibra, los enlaces satelitales utilizados para servicios críticos deberían cumplir unos requisitos básicos de confidencialidad y autenticación.