Guillem Alsina Gonzàlez
Quando pensamos em comunicações via satélite que envolvem um certo sigilo, como as de natureza militar, e talvez impulsionados pelos inúmeros filmes sobre o assunto, tendemos a imaginar comunicações ultra seguras, muito difíceis de interceptar e decifrar. Um recente estudo realizado por cientistas das universidades da Califórnia em San Diego e de Maryland, ambas nos Estados Unidos, desmonta o mito, indicando que é relativamente fácil e barato intercetar e compreender essas comunicações.
Este estudo pode ser descarregado gratuitamente da Internet, e a sua primeira conclusão é que metade das ligações de satélites geossíncronos analisadas continham tráfego IP em claro, apesar de a encriptação ser uma prática habitual na televisão por satélite há décadas e de o hardware necessário para intercetar sinais ser acessível.
Para realizar este trabalho, os autores examinaram 39 satélites geossíncronos em 25 longitudes diferentes e 411 transponders, o que lhes permitiu observar práticas internas de segurança de organizações de setores como telecomunicações, retalho, banca, aviação e administrações públicas. Os autores concluem que a encriptação ao nível da rede (por exemplo, IPsec) está longe de ser um padrão em muitas ligações internas, o que evidencia uma grande superfície de risco não monitorizada.
A monitorização das comunicações por satélite foi realizada através de uma estação passiva (ou seja, que apenas recebia dados), construída com componentes comerciais (COTS), incluindo uma antena motorizada, um sintonizador DVB-S/S2 e um LNB universal de banda Ku. Com este conjunto, a equipa conseguiu alinhar automaticamente a antena, superar os problemas habituais de qualidade do sinal e capturar entre 3 e 10 minutos de dados por transponder, acumulando mais de 3,7 TB de informação entre agosto de 2024 e fevereiro de 2025.
Além disso, desenvolveu um analisador «universal» (um software que transforma informações brutas, geralmente provenientes de sensores, em dados utilizáveis) capaz de reconstruir pacotes IP a partir de sete pilhas diferentes, detetando até mesmo desvios em relação aos padrões e particularidades de implementação por fabricante. O analista recuperou tráfego IP em 238 capturas (69%), contra 15% obtidos pela ferramenta pública anterior GSExtract no mesmo conjunto, o que amplia notavelmente a visibilidade sobre o ecossistema.
As capturas revelaram casos de uso com dados sensíveis não criptografados em links de upload. No backhaul celular, observou-se, dependendo do fornecedor e do link, tráfego de áudio e mensagens SMS em claro (sem encriptação), enquanto no âmbito corporativo foram identificados acessos Telnet com credenciais em texto claro, transferências FTP de inventário, e-mails internos sem proteção e resoluções DNS associadas a operações comerciais. Também foi detetado tráfego governamental e militar com combinações de DNS, ICMP, SIP, SNMP, IPsec e TLS e, na aviação, conteúdos de entretenimento e metadados de aeronaves.
No caso específico da operadora norte-americana T-Mobile, foram localizados três feixes de satélite com backhaul não encriptado que expunham voz, SMS e metadados de navegação; após a notificação, a empresa ativou a encriptação. O tráfego IMS contava com IPsec, mas com criptografia nula, o que deixava o conteúdo acessível; num registo de nove horas, 2.711 números de telefone foram associados a eventos de voz e mensagens. A vulnerabilidade não afeta a implantação satelital da Starlink.
O estudo inclui outros exemplos, como os da AT&T México, TelMex, Walmart México, Grupo Santander México, Panasonic Avionics e o ambiente militar dos EUA. Neste último, foi detetada uma mistura de tráfego não criptografado e criptografado.
Os cientistas responsáveis por esta investigação realizaram um processo de comunicação responsável com vários intervenientes entre dezembro de 2024 e julho de 2025. Os autores encriptaram e guardaram as capturas sensíveis, interromperam a recolha de dados quando apareceram voz e SMS em claro e eliminaram dados a pedido dos fabricantes.
Em conjunto, os resultados apontam para incentivos estruturais que desincentivam a implantação de encriptação em ligações internas via satélite, apesar de os terminais geralmente oferecerem capacidades de proteção a nível físico, de ligação e de rede. A heterogeneidade dos protocolos, a rotação de serviços por transponder e a perceção de «ligação interna» emergem como fatores que explicam a persistência de tráfego sensível em claro em trajetórias de milhares de quilómetros.
Para os responsáveis de TI que têm de lidar com uma operação de compra de conectividade, as conclusões deste estudo são algo a ter muito em conta, uma vez que revelam um risco operacional que não depende do satélite em si, mas da decisão — ou ausência dela — de ativar e gerir a encriptação de ponta a ponta na cadeia.
Também não é tranquilizador saber que certos Estados ou atores não estatais podem ser capazes de aceder a informações tão sensíveis como as militares, por um custo tão acessível.
