Científicos en EE. UU. captan datos sin cifrar del Gobierno mexicano con equipo básico
Un equipo de universidades en EE. UU. accedió a información sensible de México usando satélites sin cifrar, evidenciando fallas de seguridad gubernamentales y corporativas.
Investigadores de la Universidad de California y la Universidad de Maryland demostraron que es posible capturar datos sin cifrar de satélites mexicanos, incluyendo llamadas, correos corporativos e inventarios de la Guardia Nacional, CFE, Telmex y bancos, utilizando solo una antena parabólica y equipos accesibles al público.
Tráfico satelital vulnerable y acceso desde EE. UU.
Desde una azotea universitaria en San Diego, California, los científicos utilizaron una antena parabólica, un motor de posicionamiento y una tarjeta sintonizadora de televisión para observar tráfico satelital no encriptado. El estudio Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites revela que el Gobierno mexicano, la Guardia Nacional, la CFE, Telmex y bancos como Santander transmiten datos críticos sin cifrar.
Según los investigadores, se captaron llamadas de miles de usuarios, información de inteligencia, inventarios de unidades militares, seguimiento de casos y comunicaciones internas, incluyendo detalles de infraestructura crítica y operaciones relacionadas con el narcotráfico.
Alcance de la investigación y datos de empresas privadas
El análisis reveló que la CFE, con 46 millones de clientes, transmitía órdenes internas sin cifrar, incluyendo información sobre suministro eléctrico a zonas militares, mantenimiento de infraestructura y estado de activos. En el caso de Telmex, AT&T y T-Mobile, se evidenció que llamadas, mensajes SMS y tráfico de internet eran accesibles desde Norteamérica.
Asimismo, los científicos identificaron transmisiones de Walmart México, con acceso a inventarios y correos corporativos, y de bancos como Santander, Banjército y Banorte, que dependían de satélites para conectividad de sucursales y cajeros automáticos sin cifrado.
Metodología y alcance técnico
El equipo se centró en satélites geoestacionarios (GEO), que orbitan a altitudes fijas sobre el ecuador. Desde La Jolla, San Diego, lograron observar 411 transpondedores en 39 satélites GEO sin interferir ni hackear los sistemas. Los investigadores trabajaron de manera pasiva, almacenando los datos de forma segura y cifrando los archivos sensibles antes de divulgarlos a los proveedores afectados.
El estudio se desarrolló durante tres años con una inversión de apenas 650 dólares en equipos de consumo, demostrando la facilidad de explotar vulnerabilidades en sistemas satelitales gubernamentales y corporativos.
Divulgación y respuesta de las empresas
Los científicos informaron al CERT-MX sobre las vulnerabilidades el 4 de abril de 2025. Tras la notificación, algunas empresas implementaron medidas de seguridad. T-Mobile, Walmart y otras compañías verificaron posteriormente la corrección de las fallas detectadas.
El trabajo será presentado el 16 de octubre en Taipéi, durante la conferencia organizada por la Asociación de Maquinaria Informática (CCS), resaltando la necesidad de mejorar la seguridad de datos satelitales y proteger la información crítica de usuarios y organizaciones.
Noticias del tema