La publicación por el BOE el pasado 30 de Marzo del Real Decreto-ley 7/2022, "sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación" pone de manifiesto la preocupación de los Gobiernos europeos ante la vulnerabilidad de 5G, la tecnología móvil que permite la gestión de datos en redes inalámbricas para actividades críticas y cuya interceptación o disrupción puede puede provocar impactos de gran alcance en la convivencia libre y pacífica, en la actividad económica y en el funcionamiento de las Administraciones Públicas.
Esta norma, que circunstancialmente responde al hito CID 235 de la Componente 15 del Plan nacional de Recuperación, Transformación y Resiliencia, se inspira en líneas generales en las previsiones técnicas del Reglamento de la UE 2019/881 sobre Ciberseguridad y más en concreto en la Recomendación de la UE 2019/534 sobre la ciberseguridad de las redes 5G, el análisis de riesgos coordinado de los Estados miembros y la llamada "caja de herramientas" (del inglés "toolkit") acordada por éstos como base común para un desarrollo seguro de la tecnología 5G en Europa, específicamente a través de la Comunicación de 29 de Enero de 2020 de la Comisión Europea, relativa al "Despliegue seguro de 5G en la UE - Aplicación de la caja de herramientas de la UE" (COM/2020/ 50 final). Dicha caja de herramientas prevé una metodología e instrumentos para determinar el nivel de seguridad de los despliegues de 5G en base a los equipamientos empleados, el perfil de los suministradores de los equipamientos y servicios y la supervisión general y continuada de tales despliegues por parte de los operadores.
Rusia acumula un historial siniestro de ataques a las comunicaciones
Además de pertrecharse con el bagaje técnico y político compartido por otros países con un nivel similar de implantación de 5G, el Gobierno español, como expone la exposición de motivos del RD-L 7/2022, respaldado por la jurisprudencia del Tribunal Constitucional sobre la concurrencia de "razones de extraordinaria y urgente necesidad", ha actuado en función de un juicio político de oportunidad, teniendo presente la invasión de Ucrania por parte de Rusia, frente a la cual España se ha puesto del lado de la nación invadida y en consecuencia en contra del invasor, Rusia, que tiene un historial siniestro de interferencias y ataques a los sistemas de comunicaciones electrónicas de otros países. No obstante, quizás tenga razón Dmitri Alperovitch al señalar que "los problemas geopolíticos no tienen soluciones técnicas" en un bien documentado artículo sobre las amenazas cibernéticas en el número de Enero-Febrero 2022 de Foreign Affairs.
La seguridad de 5G alcanza tanto a equipamientos como a servicios asociados a esta tecnología, en su instalación, despliegue y explotación por los componentes del ecosistema de 5G -de lejos el más complejo de las tecnologías celulares digitales, por la presencia no solo de los proveedores de infraestructura pasiva (emplazamientos, energía) si no de equipamientos de transmisión y acceso (concretamente de la radio que en una frecuencia determinada permite velocidades en ambas direcciones equiparables a las de las conexiones fijas) y de manera inédita de proveedores de servidores y programas para el procesamiento en proximidad (por medio del "MEC, del inglés "multi-access edge computing") de datos transmitidos por las redes en cuestión, que tienen el potencial de albergar infinidad de dispositivos autónomos asociados a servicios públicos esenciales o a tareas críticas en el ámbito de la medicina, de la fabricación y del transporte, individual y colectivo.
El RD-L 7/2022 se aplica tanto suministradores, como a operadores y usuarios corporativos de 5G, siendo éstos últimos quienes instalan, despliegan o explotan redes privadas o prestan servicios a través de las redes 5G, "para fines profesionales o en autoprestación", es decir que prácticamente cualquier persona o entidad que intervenga o maneje, directa o indirectamente, redes 5G está obligada a un tratamiento integral de la seguridad de las mismas, llevando a cabo de manera exhaustiva un análisis de vulnerabilidades, amenazas y riesgos, así como a llevar a cabo una gestión adecuada e integral de dichos riesgos (o sea, de todo hecho o circunstancia razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y servicios 5G) mediante la utilización de técnicas y medidas que sean adecuadas para lograr su eliminación o mitigación y alcanzar el objetivo final de la norma, que es una explotación y operación seguras de las redes y servicios 5G. En esta misma línea se mueve entre nosotros, en términos prácticos, con una infraestructura 5G completa y atendiendo a las características de diferentes usos de la tecnología, el trabajo que desde finales de 2020 viene realizando en régimen de colaboración el Centro Vasco de Ciberseguridad (BCSC) como parte del piloto "5G Euskadi", dentro de la segunda convocatoria de tales pilotos de Red.es y cofinanciado por el Fondo Europeo de Desarrollo Regional (FEDER).
El Ejecutivo deberá aprobar el 'ENS5G' antes del próximo 30 de septiembre
El marco general de actuación alrededor de la seguridad de 5G es el "Esquema Nacional de Seguridad de redes y servicios 5G" (ENS5G) que el Gobierno viene obligado a aprobar antes del próximo 30 de septiembre y que deberá ser actualizado al menos cada cuatro años. El ENS5G incorporará las informaciones que sean facilitadas por operadores, suministradores y usuarios corporativos, como aportaciones al alcance de su intervención en la cadena de valor de 5G, junto a la normativa, recomendaciones y estándares técnicos de la UE (recogidos en el "Threat Landscape for 5G Networks" de la agencia pública ENISA), de la Unión Internacional de Telecomunicaciones de Naciones Unidas (que define especificaciones y versiones de instrucciones que hacen interoperables las redes 5G) y de otras organizaciones con competencia en la materia, como 3GPP, que es una plataforma de colaboración público-privada para la fijación de estándares nacida con ocasión de la tercera generación de comunicaciones móviles (UMTS), así como el consorcio GSMA, a través de su "Cybersecurity Knowledge Base".
En efecto, los factores a ser tenidos en cuenta en el análisis de riesgos a la seguridad en 5G alcanzan a la parametrización y configuración de elementos y funciones de red, en su topología completa; las políticas de integridad y actualización de los programas informáticos; los protocolos de permisos de acceso a activos físicos y lógicos; las eventuales dependencias de determinados suministradores en elementos críticos (según la definición del RD-L 7/2022, el núcleo (de conmutación), los sistemas de control y gestión de servicios de apoyo a la operación -conocidos como "OSS", que gobiernan las funciones de red- y la red de acceso (radio), en ubicaciones determinadas); la identificación de agentes externos con capacidad de atentar contra la red 5G en cuestión; la enumeración y descripción de redes externas conectadas a tal red 5G y de los elementos de usuarios corporativos (tales como routers, módems, servidores y terminales) y, finalmente, con cierta abstracción, la interrelación con otros servicios esenciales para la sociedad, presumiblemente aquellos prestados en régimen de monopolio o sujetos a regulación o supervisión gubernamental. La priorización y jerarquía de los riesgos atiende al nivel de devastación potencial asociado y para los operadores 5G el análisis de tales riesgos ha de ser realizado con carácter bianual, en tanto que el primero de tales análisis, incorporando medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar tales riesgos habrá de ser remitido al Ministerio de Asuntos Económicos y Transformación Digital antes del próximo 30 de Septiembre, incorporando sus previsiones de despliegue de redes 5G en los próximos dos años.
A semejante análisis de riesgos a la seguridad de las redes y servicios 5G vienen igualmente obligados los suministradores de dicha tecnología, que podrán ser calificados conforme a las categorías de medio o alto riesgo, con determinadas restricciones y en su caso prohibiciones. En efecto, conforme al artículo 14 del RD-L 7/2022, cabe al Consejo de Ministros la facultad de proceder a partir del próximo 30 de Junio a la calificación de los suministradores 5G, de acuerdo a perfiles de seguridad que tendrán en cuenta la valoración objetiva de las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios (verificando el cumplimiento de estándares y la existencia de certificaciones o auditorías independientes de seguridad), así como su exposición a injerencias externas. Las injerencias externas, que tienen un indudable tinte geopolítico, se apreciarán en su caso en razón de la existencia de vínculos de los suministradores 5G y de su cadena de producción y distribución con los gobiernos de terceros países; la composición de su capital social y la estructura de sus órganos de gobierno; el poder hipotético de un tercer Estado para ejercer presión sobre la actuación o ubicación del suministrador 5G, teniendo presentes las características de la normativa y de la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de Naciones Unidas de ese tercer Estado; los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el tercer Estado, así como los tratados internacionales en esas materias de que sea parte el mismo y, señaladamente, el grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, inspirada en el Reglamento General de Protección de Datos de la UE de 2016, que es actualmente el paradigma global en el tratamiento, circulación, cesión y conservación de los datos personales en la época de Internet.
En la práctica, esta calificación debiera no serle aplicada a los suministradores 5G radicados en la UE (Ericsson, Nokia) y probablemente tampoco aquellos en el espacio OCDE (Samsung) pero muy previsiblemente lo sea a los suministradores 5G chinos (Huawei, ZTE), que a nivel global, según Microwavejournal tenían respectivamente una cuota del 34 y del 15 por ciento. En España tanto Orange como Vodafone tienen en parte de sus redes 5G instalados equipamientos de los fabricantes chinos, los cuales, en caso de ser estos últimos calificados como de alto riesgo deberán ser sustituidos en un plazo de dos años si se trata de equipamiento relativo a redes de acceso 5G que den cobertura a instalaciones y localizaciones de alta seguridad (por ejemplo, centrales nucleares, acuartelamientos e instalaciones militares o asociadas a infraestructuras críticas, como las redes de alta tensión, oleoductos, gasoductos) que serán calificadas a tal efecto por el Gobierno y tratadas con carácter reservado, en tanto que los elementos de núcleo de red 5G de suministradores 5G de alto riesgo habrán de ser sustituidos en el plazo de cinco años. Parece probable que de darse tal circunstancia la sustitución (o permuta, del "swap" en el argot de la industria) se produciría en plazos más cortos, para evitar una eventual alarma social y atendiendo a la obligación que la norma impone de diversificación de la cadena de suministro a los operadores 5G. En todo caso, los suministradores 5G de alto riesgo serán considerados de riesgo medio y por ello no existirá obligación de sustitución cuando los elementos de red 5G de su fabricación o servicio estén desplegados en redes privadas o en régimen de autoprestación, salvo cuando se trate de redes 5G de las que sean titulares Administraciones Públicas, a quienes está prohibido el recurso a suministradores 5G de alto riesgo o riesgo medio.
El futuro ENS5G establecerá una jerarquía de riesgos en función del mapa de suministradores 5G en planta, aportado por los operadores 5G, del que se deducirá su grado de dependencia de ciertos suministradores 5G y el riesgo de interrupción del suministro por circunstancias económicas, societariamente o comerciales que puedan afectar a dichos suministradores, teniendo en cuenta la evaluación de la eficacia de las medidas de seguridad y remedios aplicados para conseguir y preservar la operación segura de las redes 5G en España. En última instancia, en el ENS5G se podrá supeditar la utilización de un equipo, programa o servicio en concreto por un operador 5G, suministrador 5G o usuario corporativo 5G a la previa obtención de una certificación europea de ciberseguridad. En la medida en que el RD-L 7/2022 responde a una actuación conjunta de los Estados miembros de la UE es probable que el ecosistema 5G, aún emergente en algunos de sus elementos, responda a un patrón convergente de suministradores de redes, dispositivos y aplicaciones de gestión que podrá contribuir a la más rápida generalización de los despliegues con niveles de seguridad homologados, generando la confianza requerida para los escenarios de conectividad compleja a los que 5G pretende dar respuesta.
Alberto Horcajo es Co Fundador de Red Colmena
