Más de 10.000 satélites activos orbitan actualmente la Tierra. Según el informe Space Threat Landscape 2025 de la Agencia de Ciberseguridad de la Unión Europea (ENISA), más del 60 % de estos satélites son propiedad de operadores comerciales, lo que posiciona al sector espacial privado en el centro de las preocupaciones de ciberseguridad global.
La expansión del mercado espacial ha convertido al espacio en una infraestructura crítica por derecho propio. Entre 2023 y 2032 se espera el lanzamiento de una media de 2.800 satélites anuales —lo que equivale a ocho lanzamientos diarios— según datos de Euroconsult. Esta expansión no viene exenta de riesgos. ENISA advierte que los sistemas espaciales comerciales son cada vez más vulnerables a ciberataques por diversas razones:
- Uso intensivo de componentes comerciales de terceros (COTS), frecuentemente sin validación previa.
- Sistemas heredados, difíciles de actualizar una vez en órbita.
- Falta de visibilidad, debido a la distancia física y la complejidad del entorno operativo.
- Errores humanos, que siguen siendo vector clave en todas las fases del ciclo de vida.
- Falta de cifrado robusto en muchos sistemas.
- Y, sobre todo, una creciente actividad de actores maliciosos avanzados (APT), que incluyen tanto a ciberdelincuentes como a actores estatales.
Ejemplos reales y consecuencias posibles
El informe recuerda incidentes como el ataque a Viasat en 2022, que inutilizó decenas de miles de módems en Europa justo antes de la invasión de Ucrania, afectando a servicios de emergencia y comunicaciones clave. O el hackeo de terminales Starlink, demostrando que incluso sistemas considerados punteros no son inmunes.
Las consecuencias potenciales de un ciberataque exitoso a un satélite son tanto físicas, como una posible desalineación orbital, riesgo de colisiones y generación de basura espacial, como económicas. Pero también sociales y geopolíticas
Desde de enero de 2025, con la entrada en vigor de la Directiva NIS2, el sector espacial está clasificado como esencial dentro del marco de ciberseguridad europeo. Esto implica que tanto los operadores de infraestructuras terrestres como los proveedores de servicios satelitales deberán aplicar medidas técnicas y organizativas muy exigentes, con sanciones en caso de incumplimiento.
Además, el Cyber Resilience Act, aprobado en noviembre de 2024, complementa este marco exigiendo que todos los productos digitales (incluidos los sistemas espaciales) garanticen ciberseguridad durante todo su ciclo de vida.
¿Quién debe tomar nota?
El informe se dirige tanto a actores institucionales como a operadores comerciales, fabricantes, centros de control, proveedores de servicios y equipos de ciberseguridad, además de organismos de estandarización y la comunidad académica.
La falta de normativas específicas para satélites comerciales —más allá de estándares generales o iniciativas como el Best Practice Guide de la NASA o las normas de la ECSS— pone de relieve la necesidad urgente de establecer normas mínimas comunes en todo el ecosistema satelital.
