Cómo un hardware de $800 puede interceptar el tráfico de mineros de Bitcoin vía satélite

Investigadores de UC San Diego y la University of Maryland han reportado hallazgos que muestran que aproximadamente la mitad de los enlaces descendentes de satélites GEO transmiten datos sin cifrado.

Además, la interceptación de datos puede reproducirse con solo 800 dólares en hardware de consumo.

Según WIRED, el equipo capturó tráfico de backhaul de telecomunicaciones, tráfico de control industrial y comunicaciones de fuerzas de seguridad, y reportó soluciones a los proveedores afectados cuando fue posible.

El grupo de Sistemas y Redes de UCSD lista el paper “Don’t Look Up” para CCS 2025 en Taipei, reforzando que esto no es solo una curiosidad de laboratorio sino una divulgación documentada y revisada por pares. El método apunta al backhaul satelital heredado en lugar de a cualquier capa de aplicación específica.

Además, el estudio cubrió solo una porción de los satélites visibles desde San Diego, lo que implica una superficie global mucho más amplia.

Bitcoin en el espacio – nuevos riesgos por hardware barato

Para los mineros de Bitcoin y pools que operan desde sitios remotos, la exposición se traduce directamente en una elección operativa: seguridad en el transporte en el trayecto que lleva Stratum.

Stratum es el protocolo que conecta a los mineros con los pools, distribuye plantillas de trabajo, recolecta shares y candidatos a bloque, dirige el poder de hash y determina cómo se contabilizan las recompensas.

Las implementaciones históricas de Stratum V1 suelen funcionar sobre TCP en texto plano a menos que los operadores habiliten explícitamente TLS, lo que significa que los endpoints de los pools, los identificadores de los mineros y las plantillas de trabajo pueden atravesar enlaces de radio sin cifrado cuando se utiliza backhaul satelital.

La especificación de Stratum V2 incluye cifrado autenticado por defecto, utilizando un handshake Noise y cifrados AEAD, lo que elimina la posibilidad de interceptación pasiva y refuerza la integridad contra intentos de secuestro de shares que dependen de la manipulación del tráfico ascendente.

Según la especificación de seguridad de Stratum V2, los operadores pueden conectar equipos antiguos a través de un proxy de traducción, por lo que no es necesario cambiar el firmware de los ASICs para comenzar a cifrar las sesiones.

Este hallazgo satelital no implica a todos los sistemas de “Bitcoin sobre el espacio”.

Blockstream Satellite transmite datos públicos de bloques de Bitcoin como un enlace descendente unidireccional, y su API Satellite admite mensajes cifrados de los remitentes, lo que lo coloca en una categoría diferente al backhaul GEO, que transporta tráfico privado de control.

Según Blockstream, el servicio existe para mejorar la resiliencia de la red para recibir bloques en regiones con acceso deficiente a internet y no para transportar credenciales de pools o sesiones de control de mineros. La actualización de red de mayo de Blockstream confirma operaciones en curso y cambios de frecuencia, y no modifica el modelo de amenazas para los enlaces Stratum que controlan los mineros.

La presión presupuestaria es relevante para los despliegues de seguridad. El hashrate ronda los 1.22 ZH/s, y la economía reciente de los mineros sitúa el hashprice en torno a 51 dólares por PH por día a fines de septiembre, con la curva a futuro en los altos cuarenta a bajos cincuenta hasta la primera mitad de 2026.

Según Hashrate Index, el heatmap actualizado para el Q4 2025 detalla la participación por país, lo que ayuda a inferir dónde es más común el backhaul satelital debido a limitaciones terrestres. Las condiciones actuales de ingresos hacen que los operadores vigilen de cerca los costos operativos, pero el principal gasto para el cifrado del transporte es el tiempo de ingeniería, no el hardware nuevo, lo que reduce la fricción para reforzar la seguridad a corto plazo.

Un modelo de sensibilidad simple enmarca el riesgo si partes de la red aún envían Stratum V1 sobre enlaces satelitales sin cifrar.

Modelado de seguridad

Sea H el hashrate total cercano a 1,223 EH/s, y definamos p_sat como la proporción que utiliza backhaul satelital, p_geo como la proporción de esos que usan GEO en lugar de LEO cifrado o terrestre, y p_v1 como la proporción que aún ejecuta Stratum V1 sin TLS.

El hashrate en riesgo es igual a H × p_sat × p_geo × p_v1. Los rangos a continuación ilustran la magnitud de la exposición y el valor de migrar a TLS o Stratum V2.

Supuestos del escenario (p_sat / p_geo / p_v1) EH/s en riesgo de confidencialidad

Bajo	0.5% / 30% / 20%	0.37
Básico	1% / 50% / 40%	2.45
Alto	3% / 60% / 50%	11.01
Peor caso	5% / 60% / 60%	22.01

La guía operativa se deriva directamente de la pila de protocolos.

Primero, aplicar TLS en todos los endpoints de Stratum V1 y en los routers delante de ellos. Luego, preferir Stratum V2 para nuevos enlaces y agregar un proxy de traducción SV1→SV2 donde existan limitaciones de hardware.

Los handshakes de TLS 1.3 se completan en un solo viaje de ida y vuelta, y las mediciones en producción muestran bajo consumo de CPU y red en sistemas modernos.

El costo de rendimiento es limitado en la mayoría de los despliegues, lo que elimina una objeción común para sitios remotos que vigilan la latencia y la utilización. Según la especificación de Stratum V2, el cifrado autenticado protege tanto la confidencialidad como la integridad de los mensajes del canal, lo que elimina la ventaja fácil para los espías pasivos documentada por el estudio satelital.

Las opciones de backhaul importan más allá del cifrado de cabecera.

Donde los operadores puedan evitar GEO heredado, un servicio LEO cifrado o un trayecto terrestre reduce el riesgo de interceptación, aunque ninguna opción de transporte reemplaza la higiene de los endpoints.

Cuando GEO siga siendo necesario, aplicar cifrado en cada salto, deshabilitar interfaces de gestión inseguras en los módems satelitales y monitorear anomalías en los patrones de shares y desvíos de endpoints que puedan revelar interferencias.

El trabajo de UCSD y UMD muestra que la interceptación de enlaces descendentes es barata y escalable con hardware de consumo, lo que debilita cualquier suposición de que los enlaces de radio pasan desapercibidos por la distancia física del adversario.

Proveedores, incluyendo T-Mobile, abordaron hallazgos específicos tras la divulgación, lo que demuestra que la remediación es práctica una vez que existe visibilidad.

¿Se puede solucionar esto?

El próximo año determinará cuán rápido los pools y mineros normalizan el transporte cifrado. Un camino es seguro por defecto, donde los pools aceptan V1 solo sobre TLS y promueven ampliamente V2. Los proxies de traducción suavizan la transición para flotas antiguas, comprimiendo la ventana de interceptación.

Un camino más lento deja una larga cola de sitios sin cifrado o parcialmente cifrados, creando exposición oportunista para actores con capacidad de interferencia en el enlace ascendente.

Un tercer camino resiste el cambio y apuesta por el ocultamiento, lo que se vuelve más difícil de justificar a medida que las herramientas del estudio se difunden y los conceptos de prueba pasan de la academia a las comunidades de aficionados.

Ninguna de estas trayectorias requiere invención de protocolos, solo decisiones de despliegue que se alinean con primitivas bien entendidas.

La confusión en torno a Blockstream Satellite puede distraer de la solución práctica. Las credenciales de los pools no están en la transmisión de datos públicos de bloques, y su API admite cargas cifradas para mensajes de usuarios, lo que separa la resiliencia de la privacidad del plano de control.

El servicio refuerza la redundancia del lado receptor para la red de Bitcoin en regiones con conectividad débil, y no reemplaza la seguridad del transporte en los enlaces de minero a pool.

El estudio deja claro para los operadores que trabajan desde el borde con backhaul de radio: el tráfico de control en texto plano ahora es trivial de observar, y cifrar Stratum es una solución sencilla y de bajo costo.

El camino operativo es TLS para V1 hoy, luego Stratum V2.

Riesgo para noderunners

Los operadores de nodos, o “noderunners”, enfrentan un perfil de riesgo diferente al de los mineros porque los nodos de Bitcoin suelen recibir y retransmitir datos públicos de la blockchain en lugar de credenciales privadas o instrucciones de pago.

Ejecutar un nodo completo no requiere transmitir material sensible de autenticación por un enlace satelital; los datos intercambiados, bloques y transacciones ya son públicos por diseño.

Sin embargo, si un nodo depende de backhaul satelital GEO para acceso bidireccional a internet, se aplica la misma exposición que afecta a cualquier tráfico TCP sin cifrar: los pares, IPs y metadatos de mensajes podrían ser observados o suplantados si falta cifrado en el transporte.

El uso de Tor, VPNs o redes superpuestas cifradas como I2P minimiza esta huella.

En contraste con los mineros que usan Stratum V1, los operadores de nodos no filtran tráfico de control con valor, pero igual deberían cifrar las interfaces de gestión y túneles de red para evitar la desanonimización o la interferencia en el enrutamiento.

La publicación How $800 hardware can sniff Bitcoin miner traffic via satellite apareció primero en CryptoSlate.