El mes pasado, SpaceX se convirtió en el operador de constelación de satélites activos más grande del mundo. A fines de enero, la compañía tenía 242 satélites orbitando el planeta con planes de lanzar 42,000 en la próxima década.
Esto es parte de su ambicioso proyecto para proporcionar acceso a internet en todo el mundo. La carrera para poner satélites en el espacio está en marcha, con Amazon, OneWeb, con sede en el Reino Unido, y otras compañías que se esfuerzan por colocar miles de satélites en órbita en los próximos meses.
Estos nuevos satélites tienen el potencial para revolucionar muchos aspectos de la vida cotidiana, desde llevar el acceso a Internet a rincones remotos d el mundo hasta monitorear el medio ambiente y mejorar los sistemas de navegación global.
En medio de toda la fanfarria, un peligro crítico ha pasado desapercibido: la falta de normas y regulaciones de ciberseguridad para satélites comerciales, en los Estados Unidos e internacionalmente.
Como un erudito que estudia el conflicto cibernético, Soy muy consciente de que esto, junto con las complejas cadenas de suministro de satélites y las capas de partes interesadas, los deja altamente vulnerables a los ataques cibernéticos.
Si los piratas informáticos tomaran el control de estos satélites, las consecuencias podrían ser terribles. En el extremo mundano de la escala, los piratas informáticos podrían simplemente apagar los satélites, negando el acceso a sus servicios.
Los hackers también podrían atascarse o parodia las señales de los satélites, creando estragos en la infraestructura crítica. Esto incluye redes eléctricas, redes de agua y sistemas de transporte.
Algunos de estos nuevos satélites tienen propulsores que les permiten acelerar, reducir la velocidad y cambiar de dirección en el espacio. Si los piratas informáticos toman el control de estos satélites orientables, las consecuencias podrían ser catastróficas. Los piratas informáticos podrían alterar las órbitas de los satélites y estrellarlos en otros satélites o incluso en la Estación Espacial Internacional.
Las partes de productos básicos abren una puerta
Los fabricantes de estos satélites, particularmente los pequeños CubeSats, usan tecnología estándar para mantener los costos bajos. La amplia disponibilidad de estos componentes significa que los hackers pueden analizarlos en busca de vulnerabilidades.
Además, muchos de los componentes se basan en tecnología de código abierto. El peligro aquí es que los hackers podrían insertar puertas traseras y otras vulnerabilidades en el software de los satélites.
La naturaleza altamente técnica de estos satélites también significa que múltiples fabricantes están involucrados en la construcción de los diversos componentes. El proceso de llevar estos satélites al espacio también es complicado e involucra a múltiples compañías.
Incluso una vez que están en el espacio, las organizaciones que poseen los satélites a menudo externalizan su gestión cotidiana a otras empresas. Con cada proveedor adicional, las vulnerabilidades aumentan a medida que los piratas informáticos tienen múltiples oportunidades para infiltrarse en el sistema.
Hackear algunos de estos CubeSats puede ser tan simple como esperar a que uno de ellos pase por encima y luego enviar comandos maliciosos utilizando antenas terrestres especializadas. Hackear satélites más sofisticados podría no ser tan difícil tampoco.
Los satélites generalmente se controlan desde estaciones terrestres. Estas estaciones ejecutan computadoras con vulnerabilidades de software que pueden ser explotadas por hackers. Si los piratas informáticos se infiltraran en estas computadoras, podrían enviar comandos maliciosos a los satélites.
Una historia de hacks
Este escenario se desarrolló en 1998 cuando los hackers tomaron el control del satélite de rayos X ROSAT estadounidense-alemán. Lo hicieron pirateando computadoras en el Centro de Vuelo Espacial Goddard en Maryland.
Luego, los piratas informáticos ordenaron al satélite que apunte sus paneles solares directamente al Sol. Esto efectivamente frió sus baterías e inutilizó el satélite. El satélite difunto eventualmente chocó de regreso a la Tierra en 2011.
Los piratas informáticos también podrían tener satélites para rescate, como sucedió en 1999 cuando los hackers tomaron el control de los satélites SkyNet del Reino Unido.
Con los años, la amenaza de ataques cibernéticos en satélites se ha vuelto más grave. Según los informes, en 2008, los piratas informáticos, posiblemente de China tomó el control total de dos satélites de la NASA, uno durante unos dos minutos y el otro durante unos nueve minutos.
En 2018, otro grupo de hackers respaldados por el estado chino lanzó un sofisticada campaña de piratería dirigido a operadores satelitales y contratistas de defensa. Los grupos de piratería iraníes también han intentado ataques similares.
Aunque el Departamento de Defensa de los Estados Unidos y la Agencia de Seguridad Nacional han hecho algunos esfuerzos para abordar la ciberseguridad espacial, el ritmo ha sido lento. Hay actualmente no hay estándares de ciberseguridad para satélites y ningún órgano de gobierno para regular y garantizar su ciberseguridad.
Incluso si se pudieran desarrollar estándares comunes, no existen mecanismos para hacerlos cumplir. Esto significa que la responsabilidad de la ciberseguridad satelital recae en las compañías individuales que los construyen y operan.
Las fuerzas del mercado trabajan contra la ciberseguridad espacial
A medida que compiten para ser el operador de satélite dominante, SpaceX y las compañías rivales son bajo creciente presión para reducir costos. También existe presión para acelerar el desarrollo y la producción. Esto hace que sea tentador para las compañías cortar esquinas en áreas como la ciberseguridad que son secundarias para obtener estos satélites en el espacio.
Incluso para las empresas que priorizan la seguridad cibernética, los costos asociados con la garantía de la seguridad de cada componente podrían ser prohibitivos. Este problema es aún más grave para las misiones espaciales de bajo costo, donde el costo de garantizar la ciberseguridad podría exceder el costo del satélite en sí.
Para complicar las cosas, la compleja cadena de suministro de estos satélites y las múltiples partes involucradas en su gestión significa que a menudo no está claro quién tiene responsabilidad y responsabilidad por infracciones cibernéticas.
Esta falta de claridad ha generado complacencia y obstaculizado los esfuerzos para asegurar estos importantes sistemas.
Se requiere regulación
Algunos analistas han comenzado a abogar por una fuerte participación del gobierno en el desarrollo y regulación de estándares de ciberseguridad para satélites y otros activos espaciales.
El Congreso podría trabajar para adoptar un marco regulatorio integral para el sector espacial comercial. Por ejemplo, podrían aprobar legislación que requiera que los fabricantes de satélites desarrollen una arquitectura de ciberseguridad común.
También podrían ordenar la notificación de todas las infracciones cibernéticas que involucran satélites. También debe haber claridad sobre qué activos basados en el espacio se consideran críticos para priorizar los esfuerzos de seguridad cibernética.
Una clara orientación legal sobre quién es responsable de los ataques cibernéticos en los satélites también contribuirá en gran medida a garantizar que las partes responsables tomen las medidas necesarias para asegurar estos sistemas.
Dado el ritmo tradicionalmente lento de la acción del Congreso, Un enfoque de múltiples partes interesadas que implica la cooperación público-privada puede estar garantizado para garantizar los estándares de seguridad cibernética. Independientemente de los pasos que tomen el gobierno y la industria, es imprescindible actuar ahora.
Sería un profundo error esperar a que los piratas informáticos obtengan el control de un satélite comercial y lo usen para amenazar la vida, las extremidades y la propiedad, aquí en la Tierra o en el espacio, antes de abordar este problema.
William Akoto, Compañero de investigación post-doctoral, Universidad de denver.
Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el artículo original.