Utilizando solo 800 dólares en equipos comerciales, los investigadores descubrieron que una cantidad asombrosa de datos sensibles se transmiten por satélite completamente sin cifrar.
Las fuerzas del orden mexicanas expuestas
Los investigadores afirman haber encontrado lo que parecían ser comunicaciones sin cifrar con centros de comando remotos, instalaciones de vigilancia y unidades de los militares y las fuerzas del orden mexicanos.
En algunos casos, observaron la transmisión sin protección de información de inteligencia sensible sobre actividades como el narcotráfico.
En otros, encontraron registros de seguimiento y mantenimiento de activos militares de aeronaves como helicópteros Mil Mi-17 y UH-60 Black Hawk, buques y vehículos blindados, así como sus ubicaciones y detalles de misión.
“Cuando empezamos a ver helicópteros militares, lo que nos preocupó no fue necesariamente el gran volumen de datos, sino su extrema sensibilidad”, manifiesta Schulman. El ejército mexicano no respondió de inmediato a las solicitudes de comentarios de WIRED.
Tan sensibles, quizás, eran las comunicaciones de sistemas industriales provenientes de infraestructuras críticas como redes eléctricas y plataformas petrolíferas marinas.
En un caso, descubrieron que la Comisión Federal de Electricidad (CFE), la empresa eléctrica estatal de México con casi 50 millones de clientes, transmitía sus comunicaciones internas sin cifrar: desde órdenes de trabajo con los nombres y direcciones de los clientes hasta comunicaciones sobre fallos de equipos y riesgos de seguridad.
(Un portavoz de la CFE no respondió a la solicitud de comentarios de WIRED).
En otros casos que aún no han detallado públicamente, los investigadores destacan que también advirtieron a los propietarios de infraestructuras estadounidenses sobre las comunicaciones satelitales sin cifrar para el software de sistemas de control industrial.
En sus conversaciones telefónicas con los propietarios de dichas infraestructuras, algunos incluso expresaron su preocupación por la posibilidad de que un agente malicioso pudiera no solo vigilar los sistemas de control de sus instalaciones, sino también, con suficiente sofisticación, desactivarlos o falsificarlos para manipular su funcionamiento.
Los investigadores obtuvieron una amplia gama de datos corporativos y de consumidores: extrajeron datos de Wi-Fi en vuelo de los sistemas Intelsat y Panasonic utilizados por 10 aerolíneas diferentes.
Dentro de esos datos, encontraron metadatos sin cifrar sobre las actividades de navegación de los usuarios e incluso el audio sin cifrar de los programas de noticias y partidos deportivos que se les transmitían.
También obtuvieron correos electrónicos corporativos y registros de inventario de la filial mexicana de Walmart, comunicaciones satelitales con cajeros automáticos administrados por Santander México, así como de los bancos mexicanos Banjercito y Banorte.
Un portavoz de Panasonic Avionics Corporation afirmó que celebran los hallazgos de los investigadores, pero refiere que han descubierto que varias declaraciones atribuidas a nosotros son inexactas o tergiversan nuestra postura.
Al ser preguntado, el portavoz no especificó qué consideraba la compañía inexacto. "Nuestros sistemas de comunicaciones satelitales están diseñados para que cada sesión de datos de usuario siga los protocolos de seguridad establecidos", afirmó.
"Generalmente, nuestros usuarios eligen el cifrado que aplican a sus comunicaciones según su aplicación o necesidad específica", declaró un portavoz de SES, la empresa matriz de Intelsat.
"Para los clientes de SES en vuelo, por ejemplo, SES proporciona una conexión Wi-Fi pública similar a la internet pública disponible en una cafetería o un hotel. En estas redes públicas, el tráfico de los usuarios se cifra al acceder a un sitio web mediante HTTPS/TLS o al comunicarse mediante una red privada virtual".
Los investigadores reportaron las numerosas comunicaciones satelitales no cifradas del gobierno mexicano y de organizaciones mexicanas al CERT-MX, el equipo de respuesta a incidentes del país, que forma parte de la Guardia Nacional del gobierno, en abril de este año, antes de contactar por separado a las empresas.
El CERT-MX no respondió a las reiteradas solicitudes de comentarios de WIRED.
Un portavoz de Santander México argumenta que no se comprometió ninguna información ni transacción de clientes, pero confirmó que el tráfico expuesto estaba vinculado a un pequeño grupo de cajeros automáticos utilizados en zonas remotas de México donde las conexiones satelitales son la única opción disponible.
"Aunque este tráfico no representa un riesgo para nuestros clientes, consideramos el informe como una oportunidad de mejora, implementando medidas que refuerzan la confidencialidad del tráfico técnico que circula a través de estos enlaces", continúa el portavoz.
"Si bien no podemos compartir detalles específicos, podemos confirmar que nuestras líneas de comunicación han sido evaluadas y se ha confirmado su seguridad", dice un portavoz de Walmart. (Los investigadores confirman que observaron que Walmart había cifrado sus comunicaciones satelitales en respuesta a su advertencia).
“La información de nuestros clientes y nuestra infraestructura no están expuestas a ninguna vulnerabilidad”, comenta un portavoz de Grupo Financiero Banorte. No fue posible contactar con Banjercito para obtener comentarios.
“SIA y sus miembros se mantienen diligentes en el monitoreo del panorama de amenazas y continúan participando en diversas iniciativas de seguridad con agencias gubernamentales, grupos de trabajo de la industria y organismos internacionales de normalización”, afirma Tom Stroup, presidente de la Asociación de la Industria Satelital, quien añade que no comenta sobre asuntos específicos de la empresa.
