Si bien parece algo lejano, lo cierto es que usuarios de países como Rusia, China y Estados Unidos están siendo los más afectados, mientras en Latinoamérica lo son Brasil, México y Ecuador.

En los últimos años se ha visto que los grupos de ciberdelincuentes han tenido que sofisticar sus campañas tanto para tener un mejor ataque como para protegerse a sí mismos de las autoridades, y uno de los métodos que ha llamado la atención de los investigadores es el uso de las redes satelitales.

De acuerdo con Stefan Tanase, investigador senior de seguridad de Kaspersky Lab, recientemente se identificó que el grupo Turla, o también conocido como Snake o Uroburos, utiliza los satélites para que no se detecten ni sus operaciones ni su ubicación física.

Esto es importante si se considera que se trata de un grupo que ha estado activo durante más de ocho años infectando a cientos de computadoras, principalmente en países como Rusia, China o Estados Unidos y, en menor medida, a Brasil, México y Ecuador.

Tanase indicó que las comunicaciones vía satélite son utilizadas para transmitir programas de televisión o comunicaciones seguras, pero a últimas fechas también sirven para dar acceso a internet.

Una de las tecnologías usadas se llama enlace de flujo único descendente, el cual permite que las personas accedan a un internet con la desventaja de que todo el tráfico llega a la computadora sin ser cifrado, dejando abierta la puerta para cualquier programa malicioso.

Sin embargo, Tanase resaltó que Turla aprovecha esa debilidad de una forma diferente porque, ante la falta de cifrado, identifica direcciones IP activas de usuarios de internet por satélite para, con éstas, enmascarar la dirección de su servidor de comando y control.

El servidor contiene el malware que implanta en las máquinas y si se descubre su ubicación puede dar mucha información a las autoridades sobre sus movimientos y quiénes son sus objetivos.

El investigador senior de Seguridad explicó que, una vez elegidas las direcciones IP hacen que las máquinas infectadas manden la información de los objetivos a esas direcciones vía satélite, los equipos del usuario legítimo las reciben y después se reenvían al servidor de comando y control.

¿Cuál es el peligro real?

Kaspersky Lab detectó que el grupo Turla abusa de varios proveedores de internet satelital en Medio Oriente y África, los cuales no cubren territorios europeos ni norteamericanos lo que dificulta la acción de las autoridades para rastrear los ataques.

Para el investigador, este tipo de secuestro del tráfico de red entre el usuario y el operador satelital es un peligro, ya que Turla no es el único grupo que ha ocupado este método, también HackingTeam, Xumuxu y Rocket Kitten lo han hecho.

De hecho, resulta un método barato porque, para intervenir las señales satelitales, se requiere una inversión inicial menor a US$1.000 y el costo de mantenimiento al año es similar.

"Si este método llega a popularizarse entre los grupos de ciberpiratas será un grave problema para la seguridad cibernética y para las comunidades de contrainteligencia”, advirtió.

Hasta ahora no se ha vuelto muy recurrente este método porque la mayoría de cibercriminales prefiere otras formas más directas.