CONSULTORÍA ESTRATÉGICA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
El Gobierno de España aprobó el pasado 30 de
marzo, el Real Decreto-Ley 7/2022, de 29 de marzo, "sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas
de quinta generación". En su elaboración se ha tenido en cuenta la Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la
Comisión Europea, sobre la ciberseguridad de las redes 5G, el análisis de riesgos coordinado de los Estados miembros y la "caja de
herramientas" acordada por éstos como base común para un desarrollo seguro de la tecnología 5G en Europa. La guerra de Ucrania
aceleró su tramitación y, aunque las operadoras ya han trabajado en sus análisis de riesgos y medidas de mitigación, es el propio
Gobierno el que aún no ha hecho todos sus deberes a tiempo, aumentando la incertidumbre, lo cual podría retrasar los despliegues.
La seguridad en 5G, buscando asegurar la confidencialidad, integridad y disponibilidad de las redes, servicios y datos, es un pilar fundamental para el éxito de esta nueva tecnología. Los beneficios que aporta 5G en cuestiones como velocidad, capacidad, latencia, agilidad y robustez, hace que sea aplicable a muchas nuevas aplicaciones y casos de uso, incluyendo servicios de misión crítica. Entre los nuevos casos de uso, tenemos: redes energéticas inteligentes, control remoto de drones o robots, fábricas inteligentes, sanidad electrónica, coche autónomo, realidad virtual, realidad aumentada, etc. De hecho, 5G es el pilar de la cuarta revolución industrial, impulsando un cambio en la sociedad hacia su digitalización total; por ello, la severidad de las consecuencias del ataque exitoso a una red 5G son mayores en cualquier otra tecnología precedente.
En general, la mayoría de las amenazas en 5G son las mismas que en 4G. Sin embargo, como veremos, los riesgos son mayores en 5G. En primer lugar, el amplio rango de aplicaciones que pueden ser soportadas en la red, así como la complejidad de las funciones involucradas, hacen que la superficie de ataque en las redes 5G sea mucho mayor. Además, la explosión de dispositivos IoT, de muy diversa tipología, es un nuevo factor de riesgo. Por otro lado, 5G es también una red dinámica y abierta a socios externos a la operadora, gracias a tecnologías como REST API y al "network slicing". La convergencia de 5G con tecnologías de la nube (hardware estándar, contenedores, software de código abierto, etc.), añade una mayor dificultad, al tener que considerar un ecosistema mayor de componentes. Finalmente, el protocolo de señalización en 5G se basa en HTTP2, que es mucho más conocido y sencillo para potenciales atacantes que SS7 en 2G/3G o Diameter en 4G.
La seguridad de 5G depende de todos los actores involucrados en la cadena de valor: reguladoras, operadoras, proveedores, integradores de sistemas, usuarios... Se debe seguir un enfoque de confianza cero o ZTA (Zero-Trust Approach), con una sólida postura de seguridad extremo a extremo, para reducir los potenciales riesgos. La utilización de herramientas basadas en inteligencia artificial y aprendizaje automático para la detección y mitigación de amenazas, son también muy recomendables.
El Real Decreto-Ley 7/2022 obliga a las operadoras a analizar los riesgos de las redes y servicios 5G. Entre otros aspectos, para realizar este estudio, las operadoras podrán recabar de sus suministradores las prácticas y medidas de seguridad que han adoptado en los productos y servicios que les han suministrado.
Las operadoras tienen que asegurarse de que los suministradores cumplan los estándares de seguridad. 3GPP define los requerimientos y especifica las arquitecturas y protocolos para la seguridad y privacidad de los sistemas 5G, utilizando también mecanismos de seguridad estandarizados por otros organismos, como IETF, ITU-T o ETSI. Otro aspecto muy importante a tener en cuenta por las operadoras, es que los suministradores implementen una evaluación continua de la seguridad a lo largo de todo el ciclo de vida de sus productos, siguiendo estándares como ISO27K, NIST 800-160, TL9000, etc. Existen muchas certificaciones de seguridad en el mundo IT, varias de ellas con metodologías, procesos y procedimientos duplicados. En 5G, el esquema más adecuado es NESAS (Network Element Security Assurance Scheme), puesto que ha sido desarrollado por la GSMA, considerando los estándares 3GPP. No obstante, las certificaciones y auditorías en laboratorios externos independientes no eliminan todos los riesgos, ya que las redes 5G están utilizando tecnologías basadas en la nube, donde los distintos suministradores, en mayor o menor medida, utilizan software de código abierto y metodologías Agile con un desarrollo y despliegue automático y continuo. Por lo tanto, siempre habrá versiones de software desplegadas en la operadora, corrigiendo defectos o añadiendo funcionalidad que, por cuestiones de costes y tiempos, no habrán sido certificadas externamente. Por ello, es importante realizar una monitorización y auditorias de seguridad continuas de las configuraciones y políticas de seguridad desplegadas.
El estudio de los riesgos de las redes y servicios 5G por parte de las operadoras, fue remitido hace unos meses al Ministerio de Asuntos Económicos y Transformación Digital. El siguiente paso, que debería haber ya finalizado, es la identificación por parte del Gobierno de España de los proveedores de alto riesgo, lo cual implicará que la operadora deberá sustituir sus equipos, en un plazo de 2 o 5 años, dependiendo de la criticidad del servicio y la zona. En la identificación, se tendrán en cuenta criterios técnicos y estratégicos y, con total seguridad, independientemente de cuál sea la decisión final, habrá desacuerdos y recelos con otros países.
Huawei es uno de los fabricantes con más temor a lo que ocurra con la regulación, pues ya ha sido vetada por países como Australia, Estados Unidos, Reino Unido y Suecia. Huawei es un suministrador de 5G competitivo, tanto en innovación como en precio, pero es razonable que varios países tengan dudas acerca de su idoneidad. En primer lugar, se trata de una compañía privada, cuyos accionistas son sólo sus propios empleados chinos. En ese escenario, es difícil asegurar la pluralidad o la transparencia. Además, la tendencia a un mayor intervencionismo y proteccionismo del Partido Comunista Chino han sido evidentes en los últimos meses, por ejemplo, en la ofensiva contra las grandes empresas tecnológicas chinas, como Alibaba. Finalmente, no hay que olvidar, la posición ambigua de China en el conflicto de la guerra de Ucrania, que no ha estado alineada con la posición de la Unión Europea.
