Investigadores de la Universidad de California y la Universidad de Maryland demostraron lo sencillo que es interceptar comunicaciones satelitales no cifradas en México. Desde una azotea en La Jolla, San Diego, y con equipo de consumo —antena parabólica, motor de posicionamiento y tarjeta sintonizadora— lograron captar, de forma pasiva, llamadas y datos sensibles de dependencias federales (incluida la Guardia Nacional), de la Comisión Federal de Electricidad (CFE) y de empresas como Telmex, AT&T México, Banco Santander, Banjército y Banorte.
El estudio académico, titulado Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites, documenta que una “cantidad alarmantemente grande” de tráfico crítico viaja sin cifrado: comunicaciones internas gubernamentales y corporativas, inventarios y registros de personal, informes de incidentes e, incluso, voz, SMS y navegación de usuarios finales. Los autores enfatizan que no “hackearon” ni interfirieron satélites: su observación fue completamente pasiva.
Desde su ubicación, el equipo identificó 411 transpondedores en 39 satélites geoestacionarios (GEO). En el caso de la CFE, detectaron órdenes internas, identificadores de suministro a zonas militares y reportes de mantenimiento. En el frente financiero, observaron enlaces satelitales que conectan sucursales remotas, cajeros automáticos e infraestructura interna de bancos como Santander, además de tráfico no cifrado asociado a Banjército y Banorte.
En telecomunicaciones, registraron que AT&T México y Telmex transmitían información sin cifrar; en una captura de 30 minutos se visualizaron datos de control e internet de 710 números, además de llamadas y SMS. Al detectar voz y mensajes en claro, detuvieron la recolección, cifraron de inmediato los archivos y procedieron con divulgación responsable hacia los proveedores.
El tráfico corporativo sin protección también alcanzó a Walmart México: los investigadores identificaron accesos a su sistema de gestión de inventario y correos internos en claro. Parte del material reveló, además, navegación de Wi-Fi a bordo en vuelos comerciales y comunicaciones ligadas a infraestructura crítica como plataformas de energía.
Las vulnerabilidades fueron notificadas al CERT-MX el 4 de abril de 2025, y de forma directa a algunas empresas (como a Grupo Santander el 10 de julio). En varios casos, las organizaciones reportaron mitigaciones y solicitaron nuevas verificaciones que confirmaron correcciones.
El trabajo, realizado durante tres años con una inversión aproximada de 650 dólares en hardware accesible, será presentado el 16 de octubre en Taipéi, Taiwán, en la conferencia CCS de la principal sociedad científica informática. Los autores subrayan que, dado que la escucha es pasiva, es imposible saber cuántos actores podrían estar explotando hoy estas brechas, por lo que urgieron a cifrar todo el tráfico en enlaces satelitales de gobierno e industria.
