Un estudio sobre la viabilidad de piratear satélites de órbita terrestre baja ha revelado que es preocupantemente fácil hacerlo.
En una presentación en la conferencia de seguridad Black Hat de Las Vegas, Johannes Willbold, estudiante de doctorado de la Universidad Ruhr de Bochum (Alemania), explicó que había estado investigando la seguridad de los satélites. Estudió tres tipos de maquinaria orbital y descubrió que muchos estaban totalmente indefensos ante una toma de control remota porque carecen de los sistemas de seguridad más básicos.
«La gente cree que los satélites son seguros. «Son activos caros y deberían tener encriptación y autenticación. Supongo que los delincuentes piensan lo mismo, que son demasiado difíciles de atacar y que hay que ser un genio de la criptografía. Quizá no fue buena idea dar esta charla».
Los operadores de satélites han tenido suerte hasta ahora. La creencia generalizada es que piratear este equipo sería prohibitivo debido al elevado coste de las estaciones terrestres que se comunican con las aves orbitales, y que dicho hardware se beneficiaba de la seguridad por oscuridad, es decir, que hacerse con los detalles del firmware sería demasiado difícil. Según la investigación, ninguna de las dos cosas es cierta.
Por ejemplo, tanto AWS como Azure de Microsoft ofrecen ahora Ground Station as a Service (GSaaS) para comunicarse con satélites LEO, por lo que la comunicación es simplemente cuestión de desembolsar una tarjeta de crédito. En cuanto a la obtención de detalles sobre el firmware, la industria espacial comercial ha florecido en los últimos años y muchos de los componentes utilizados en múltiples plataformas son fáciles de comprar y estudiar: Willbold estimó que un hacker podría construir su propia estación terrestre por unos 10.000 dólares en piezas.
Como académico, Willbold adoptó un enfoque más directo. Se limitó a pedir a los operadores de satélites los detalles pertinentes para su artículo [PDF]. Algunos accedieron (aunque en un caso tuvo que firmar un acuerdo de confidencialidad) y los resultados reflejaron en cierto modo los primeros tiempos de la informática, cuando la seguridad se dejaba de lado por falta de potencia de cálculo y memoria.
Estudió tres tipos diferentes de satélites: un ESTCube-1, un minúsculo CubeSat 2013 con un procesador Arm Cortex-M3, un CubeSat más grande, el OPS-SAT, operado por la Agencia Espacial Europea como plataforma orbital de investigación, y el llamado Flying Laptop, un satélite más grande y avanzado operado por el Instituto de Sistemas Espaciales de la Universidad de Stuttgart.
Los resultados fueron deprimentes. Los dos CubeSat fallaban en el nivel más básico, sin protocolos de autenticación, y emitían señales sin cifrar. Con algún código, Willbold habría podido hacerse con las funciones básicas de control de los satélites y bloquear al propietario legítimo, lo que demostró durante la charla con una simulación.
Sin embargo, el Flying Laptop era un caso diferente. Disponía de sistemas de seguridad básicos e intentaba aislar las funciones básicas de las interferencias. Sin embargo, con algo de habilidad, código y técnicas estándar, este satélite también resultó vulnerable.
Baja prioridad
Intrigado por los resultados, Willbold decidió profundizar. Se puso en contacto con desarrolladores que trabajaban en sistemas satelitales para comprobar los datos y obtuvo nueve respuestas de desarrolladores que habían trabajado en un total de 132 satélites a lo largo de sus carreras. No fue fácil: tardó cuatro meses en obtener esas respuestas.
Los resultados mostraron que los sistemas de seguridad estaban muy abajo en la lista de prioridades a la hora de diseñar satélites. Sólo dos de los encuestados habían realizado algún tipo de prueba de penetración. En su opinión, el problema es que la ciencia espacial es un campo tan enrarecido que los desarrolladores carecen de los conocimientos de seguridad necesarios para llevar a cabo una comprobación rigurosa de un satélite.
Un resultado sorprendente fue que cuanto más grande era el satélite (y, por tanto, más caro de construir y lanzar), más vulnerable era. La maquinaria de mayor tamaño solía utilizar más componentes comerciales disponibles en el mercado y, como resultado, era más vulnerable, ya que la base de código era pública, mientras que los CubeSat más pequeños solían utilizar código personalizado.
En cuanto a lo que ocurriría si un satélite fuera secuestrado, Willbold sugirió varias alternativas. Podrían utilizarse para transmitir información o código malicioso a objetivos en tierra, o para hablar con otros satélites de una constelación y subvertirlos también. En el peor de los casos, se podría mover un satélite para que se estrellara contra otro, arrojando escombros por toda la órbita y pudiendo dejar fuera de servicio más sistemas.
Cuando The Register le preguntó si sería posible adaptar sistemas de seguridad a los satélites, Willbold no se mostró esperanzado.
«Desde un punto de vista muy técnico, sería posible. Pero, siendo realistas, estos sistemas se construyen con márgenes muy estrechos», dijo.
«Han planificado estos sistemas para cada mili vatio de energía que se utiliza para hacer funcionar el satélite, por lo que no hay presupuesto de energía en los sistemas existentes para ejecutar el cifrado o la autenticación. No es práctico».