En una nota publicada el jueves 16 de octubre en 'El País, México', el periodista Andrés Rodríguez refiere cómo desde la azotea de un edificio universitario, en el barrio costero de La Jolla, en San Diego (al sur de California), con una antena parabólica, un motor de posicionamiento y una tarjeta sintonizadora de televisión para capturar datos sin procesar, un equipo de investigadores de la Universidad de California y la Universidad de Maryland consiguió acceder a información sin encriptar de satélites en México, del Gobierno y la Guardia Nacional, de la Comisión Federal de Electricidad (CFE) y de empresas como Walmart México, Telmex y el Banco Santander.
Ello fue posible con un equipo cuyo valor estimado asciende a 650 dólares. Wendy Morty Zhang, Annie Dai, Keegan Ryan, Dave Levin, Nadia Heninger y Aaron Schulman son autores del artículo científico "Don't Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites" -en castellano: "No mires hacia arriba: hay enlaces internos disponibles en los satélites GEO", publicado el 13 de octubre en el sitio web de Benton Institute for Broadband & Society.
El texto, resultado de la investigación realizada por los referidos investigadores puede ser descargado aquí.
El objetivo central del estudio permitió demostrar la viabilidad de un atacante cuyo objetivo sea observar el tráfico satelital visible desde su posición, escaneando pasivamente tantas transmisiones GEO como sea posible desde un único punto estratégico en la Tierra.
El texto fue incluido en las actas del 2025 ACM SIGSAC Conference on Computer and Communications Security (CCS '25), en Taipei, Taiwán. Los autores señalan: "descubrimos que el 50% de los enlaces GEO contenían tráfico IP sin cifrar; si bien el cifrado de la capa de enlace ha sido una práctica estándar en la televisión por satélite durante décadas, los enlaces IP generalmente carecían de cifrado tanto en la capa de enlace como en la de red.
"Esto nos brinda una perspectiva única de las prácticas de seguridad de la red interna de estas organizaciones. Observamos tráfico de retorno celular no cifrado de varios proveedores, incluidos contenidos de llamadas y texto sin cifrar, programación de tareas y sistemas de control industrial para infraestructura de servicios públicos, seguimiento de activos militares, investigación y desarrollo".
En los satélites GEO hay abundantes datos de texto sin cifrar. Los autores de la investigación indican haber observado "cantidades significativas de tráfico de red interna altamente sensible que se transmite sin cifrar a amplias zonas de Norteamérica. La gravedad de nuestros hallazgos sugiere que estas organizaciones no supervisan rutinariamente la seguridad de sus propios enlaces de comunicación satelital".
México, en realidad no era el objeto de la investigación, simplemente representó uno de los casos analizados. Por ejemplo, respecto a la red de retorno celular de AT&T México, los investigadores refieren: "observamos tráfico de red de retorno celular sin cifrar, que incluía metadatos de protocolo y protocolos de señalización de red celular, así como tráfico de internet sin procesar del usuario.
"En este transpondedor, no observamos llamadas ni SMS sin cifrar, ni túneles IPsec que pudieran contener estos datos. Nuestro análisis identificó un haz satelital que transportaba tráfico de AT&T México sin cifrar, que se pudo recibir en gran parte de Norteamérica".
Telmex también transmitía las llamadas de sus usuarios sin cifrar. "Este tráfico incluía llamadas no cifradas, SMS [mensajes de texto], tráfico de Internet de usuarios finales, identificaciones de hardware [equipos] y claves de cifrado de comunicaciones celulares. Cuando descubrimos inesperadamente comunicaciones de voz y SMS sin cifrar en nuestros datos, interrumpimos la recopilación. Ciframos los datos relevantes y volvimos a consultar con nuestros abogados, quienes facilitaron la divulgación a los proveedores afectados".
Sobre el tráfico de la red interna de Walmart-México, señalan que una herramienta interna de gestión de inventario permite el seguimiento de existencias, la actualización de precios y la gestión de las operaciones de la tienda mediante datos en tiempo real.
"Identificamos tres haces satelitales que transportaban tráfico interno del sistema Walmart-México sin cifrar, que podía recibirse en Norteamérica (…) El tráfico interno de red más importante incluye: inicios de sesión mediante Telnet sin cifrar a su sistema de gestión de inventario, incluyendo credenciales de texto sin formato, texto de la interfaz de usuario del terminal y resúmenes de factura, registros de inventario transferidos y actualizados mediante FTP sin cifrar, correos electrónicos corporativos internos sin cifrar, equipo informático interno NetBIOS sin cifrar".
En Grupo Santander México, identificaron tráfico no cifrado proveniente de las redes internas "que se transmitía a través de un transpondedor satelital que utiliza DVB-S2 seguido de encapsulación GSE con fragmentación 6/2 que transportaba tráfico IP. El tráfico sugiere que Grupo Santander México depende del satélite para la conectividad de sucursales remotas, cajeros automáticos e infraestructura interna. Las direcciones IP de los paquetes resueltos se encuentran dentro de los bloques asignados por Telmex".
Respecto a Banjército y Banorte, "identificamos un extenso tráfico satelital sin cifrar, vinculado a la infraestructura interna de ambos bancos, que se transmitía a través de un transpondedor satelital mediante DVB-S2, seguido de encapsulación GSE con fragmentación 6/2 que transportaba tráfico IP. Los rangos de IP de destino se encontraban dentro del rango de direcciones internas/privadas utilizado por Banjército. El tráfico de texto plano incluía respuestas DNS para dominios vinculados a operaciones financieras, cajeros automáticos y terminales POS, y autenticación CLDAP y LDAP".
En cuanto al gobierno mexicano y las fuerzas armadas "observamos tráfico satelital sin cifrar proveniente de múltiples organizaciones del gobierno mexicano, incluyendo agencias militares, policiales y gubernamentales. Estos enlaces sin cifrar parecen utilizarse para conectar centros de comando remotos, puestos de vigilancia y unidades móviles a través de redes satelitales comerciales.
"Los dos transpondedores utilizan DVB-S2 sin cifrar en la capa física. Uno de ellos utiliza encapsulación GSE con la peculiaridad de implementación de fragmentación 6/2, seguida de IP sin cifrar. El otro transpondedor utiliza codificación de palabras con inversión de bytes de un encabezado desconocido seguido de un encabezado IP (Sección 5). El tráfico observado incluye solicitudes DNS para nombres de host y certificados TLS con atributos de Nombre Distinguido (DN) para diversos nombres de host e infraestructura gubernamentales, tanto internos como externos.
"Entre las cargas útiles de tráfico, observamos grandes cantidades de tráfico HTTP sin cifrar que contenía respuestas de aplicaciones web en formato JSON y HTML provenientes de sistemas internos utilizados para infraestructura, logística y gestión administrativa, incluyendo: referencias a terminales, regiones y zonas militares. Inventario de activos de las fuerzas del orden, registros de personal y monitoreo de tráfico. Informes de incidentes, seguimiento de casos y documentación de pruebas por parte del personal de campo y administrativo, incluyendo actividades relacionadas con narcóticos y reuniones públicas.
En la Comisión Federal de Electricidad (CFE), con 90 mil trabajadores y 46 millones de clientes "observamos un transpondedor que transportaba comunicaciones internas de la CFE sin cifrar, cuya cobertura abarca gran parte de Norteamérica (…)
"El tráfico interno sin cifrar incluía: respuestas DNS para dominios internos hacia y desde direcciones IP privadas, respuestas JSON estructuradas para órdenes de trabajo de servicio al cliente y mantenimiento con ubicaciones, niveles de urgencia, nombres de clientes, direcciones, números de cuenta y tipos de tarifa. Identificadores etiquetados para el suministro de la red eléctrica a zonas militares y edificios gubernamentales. Formularios web internos de informes y configuración que listan la administración y la infraestructura de subestaciones. Sistemas internos de mantenimiento para fallos de infraestructura y estado de activos, como fallos mecánicos y riesgos de seguridad".
Los investigadores afirman haber realizado un exhaustivo proceso de divulgación de sus resultados y hallazgos. A mediados de enero informaron a Walmart-México. Posteriormente, el 4 de abril de 2025, notificaron las vulnerabilidades detectadas al Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX), así como a Telmex, Grupo Santander de México, Banjército y Banorte.
La respuesta del gobierno mexicano parece no corresponder a la gravedad de lo señalado por los referidos investigadores.
La "operación cicatriz" no corrió a cargo de José Antonio Peña Merino, titular de la Agencia de Transformación Digital y Telecomunicaciones, la cual además de formular y conducir las políticas del gobierno digital, es responsable de la ciberseguridad.
De acuerdo información publicada el viernes 17 de octubre por 'sdpnoticias', la Secretaría de la Defensa Nacional (Sedena), a través del general Ricardo Trevilla Trejo, descartó la posibilidad de "una filtración de información desde Estados Unidos pues no tienen indicios de ello, como lo aseguran estudios de universidades de ese país (…) nadie ha ingresado a los sistemas de la Sedena y no tienen indicios de que hayan obtenido información, como aseguran la Universidad de California San Diego y la Universidad de Maryland".
El complejo imaginario de la ciberseguridad, por supuesto representa un tema estratégico. Todos somos vulnerables, incluso la presidenta.
Después de haber desterrado a 29 capos del narcotráfico, enviados a Estados Unidos el 27 de febrero, el teléfono celular de la presidenta Claudia Sheinbaum fue hackeado, como reveló el periódico 'The New York Times'. Además, también hackearon su correo electrónico.
La necesidad de que el gobierno mejore sus políticas y capacidades en materia de seguridad es imperativa, especialmente a la luz de los recientes incidentes relacionados con la exposición de tráfico satelital sin cifrar y los ataques dirigidos a instituciones clave.
Limitar o bloquear el acceso de la ciudadanía a información que legítimamente debería ser pública no solo resulta contraproducente, sino que además puede fomentar un aumento en el número de intentos de hackeo.
Mantener una postura de transparencia, junto con el fortalecimiento de la ciberseguridad, es fundamental para prevenir vulnerabilidades y proteger tanto la infraestructura crítica como los datos de los ciudadanos, por ejemplo, en un tema tan sensible como la CURP biométrica.
