Algunos de los satélites más avanzados del mundo parecían intocables. Dos hackers demostraron que podían ser secuestrados
En los satélites, cada maniobra depende de software que rara vez se somete a pruebas públicas de seguridad. Unas demostraciones en entornos controlados han puesto sobre la mesa vulnerabilidades que, bajo ciertas condiciones, podrían permitir el control remoto de sistemas espaciales. No se trata de un fallo puntual ni de un experimento aislado: es una señal de que la seguridad debe revisarse con lupa antes de que se convierta en noticia por razones equivocadas.
En agosto, durante las conferencias Black Hat USA y DEF CON celebradas en Las Vegas, unos investigadores compartieron sus hallazgos, según IEEE Spectrum. El trabajo se centró en dos piezas clave: el core Flight System (cFS), empleado en múltiples misiones de la NASA, incluido el telescopio James Webb, y Yamcs, un sistema de control de la empresa europea Space Applications Services. Los fallos, no obstante, fueron identificados y corregidos antes de su divulgación.
El hallazgo que reabre el debate sobre la ciberseguridad en el espacio
Detrás del hallazgo están Andrzej Olchawa y Milenko Starcik, expertos de VisionSpace con experiencia directa en operaciones espaciales. Analizaron software de código abierto con la mentalidad de un adversario, buscando vulnerabilidades reproducibles. No necesitaron meses de análisis: en pocas horas lograron localizar 37 fallos que, en escenarios controlados, permitían manipular sistemas críticos. Actuaron sobre entornos propios y coordinaron con los desarrolladores para parchear el software antes de divulgar sus conclusiones.
El análisis del core Flight System (cFS) reveló que, aunque es una pieza clave en misiones de la NASA, su explotación no sería sencilla. Para comprometerlo haría falta acceso físico a una estación terrestre y operar en frecuencias reservadas para comunicaciones espaciales. Aun así, los investigadores advierten que, en manos de un actor estatal con recursos y cobertura suficiente, este escenario es plausible. En su demostración explicaron que, con esa capacidad, sería posible subir órdenes al satélite y modificar su comportamiento.
Yamcs, a diferencia del cFS, resultó más accesible para un atacante. Los investigadores demostraron que bastaría una campaña de phishing exitosa para cargar una configuración maliciosa en el centro de control. Con esa puerta de entrada podrían emitir órdenes arbitrarias o alterar archivos, todo desde cualquier ubicación con conexión a Internet. El ejercicio mostró cómo este vector abre una superficie de ataque mucho mayor y menos protegida.
En Black Hat USA 2025, Andrzej Olchawa profundizó en el alcance de las pruebas y compartió detalles sobre cómo explotaron las vulnerabilidades. Subrayó que todas las maniobras se ejecutaron en entornos simulados y que ningún satélite real estuvo en riesgo. Su explicación buscaba dar contexto técnico sin alarmar, mostrando con precisión hasta dónde podrían llegar actores con conocimiento suficiente y acceso a los sistemas adecuados.
“En algunos casos, pudimos enviar telecomandos arbitrarios a las naves a través del sistema de control de la misión. En otros, logramos tomar el control de todo el centro de control y, en otros casos, si eres capaz de enviar telecomandos a la nave, puedes conseguir ejecución remota de código directamente en ella”.
El panorama de amenazas ha cambiado: donde antes había redes privadas y estaciones locales, ahora hay control remoto, servicios en la nube y conexiones desde casa. Esa evolución multiplica las posibilidades de ataque, según los investigadores, y explica por qué vulnerabilidades antes teóricas ahora son motivo de alerta. Un ejemplo es el ataque contra ViaSat en 2022, que afectó a miles de usuarios y coincidió con el inicio de la guerra en Ucrania. El caso sugiere que los sistemas espaciales no están aislados de conflictos globales.
Las correcciones llegaron a tiempo para los proyectos abiertos, con actualizaciones que mitigaron las técnicas demostradas en laboratorio. El reto pendiente está en los sistemas cerrados, donde la ausencia de acceso al código limita la revisión por parte de expertos externos.
Imágenes | Gontran Isnard | Xataka con Grok
