Madrid
La quinta generación de redes de telefonía móvil conocida 5G está revolucionando la forma en que interactuamos con el mundo digital. La tecnología 5G conlleva mejoras en ancha de banda, conectividad masiva para el Internet de las cosas (IoT) y comunicaciones de baja latencia, impulsando de este modo los servicios de IA y el ecosistema de ciudades inteligentes.
Sin embargo, con cada avance tecnológico surgen nuevos retos, lo que proporciona un terreno muy jugoso para que los ciberdelincuentes exploten vulnerabilidades no identificadas. El impacto de la tecnología 5G en la ciberseguridad se relaciona principalmente con el volumen de datos que se transmiten a través de la red y la mayor cantidad de dispositivos conectados ampliando la superficie de amenazas de ciberseguridad.
Los principales riesgos de ciberseguridad asociado a la 5G son motivados, principalmente, por los siguientes factores: i) Nuevos servicios nuevos riesgos. El 5G no se trata solo de dispositivos móviles, se centra en ofrecer servicios avanzados para negocios e industrias, lo que introduce nuevos riesgos de seguridad al conectar diferentes redes; ii) Falta de madurez en ciberseguridad de los activos IoT. Muchos dispositivos de IoT se fabrican y configuran con carencias en materia de seguridad; iii) La implementación de la tecnología 5G tiene responsabilidades compartidas entre los fabricantes, los operadores de red y los diferentes proveedores de servicios. Esto puede generar cierta confusión en cuanto a quien se responsabiliza del implementar los controles de seguridad y iv) pueden darse interrupciones del suministro debido a un número limitado de proveedores.
Para dar respuesta a esta creciente necesidad de gestionar los riesgos de ciberseguridad en tecnologías 5G, el pasado 30 de abril de 2024, el Gobierno aprobó el Real Decreto 443/2024, por el que se establece el Esquema Nacional de Seguridad de redes y servicios 5G (ENS5G). Este real decreto desarrolla el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas. Este marco regulatorio, desarrollado por el Centro Nacional de Inteligencia (CNI) y el Instituto Nacional de Ciberseguridad (INCIBE), establece los principios, medidas y requisitos necesarios para proteger las redes y servicios 5G en España.
El ENS5G aplica a operadores y suministradores 5G, los usuarios corporativos 5G que utilicen las redes 5G para implementar redes privadas 5G y/o prestar servicios 5G, así como a las Administradores Públicas quienes instalan, despliegan o explotan redes privadas o prestan servicios a través de las redes 5G.
El ENS-5G abarca desde la identificación de riesgos hasta la implementación de medidas de protección y la respuesta ante incidentes. Las principales medidas del ENS-5G incluyen:
- Evaluación de riesgos: el ENSG5G obliga a los actores del ecosistema 5G, a realizar un análisis de riesgos como base para abordar una gestión integral de su seguridad, que debe ser debidamente actualizado.
- Requisitos de seguridad: establecimiento de criterios y estándares de seguridad que deben cumplir los proveedores de servicios, operadores de redes y demás actores involucrados en el despliegue y operación de redes 5G.
- Supervisión y control: implementación de mecanismos de supervisión y control para garantizar el cumplimiento de los requisitos de seguridad establecidos en el ENS-5G y que serán auditados cada dos años.
Para llevar a cabo estas actividades de evaluación, tratamiento y seguimiento de riesgos, se pretende que el ENS5G se convierta en el 'hermano pequeño' del Esquema Nacional de Seguridad, que una vez más se está convirtiendo en el marco de control de referencia de la Administración Pública española, y su aplicación se está promocionando para cubrir otros requerimientos regulatorios como la Ley NIS2 o la Ley de Protección de Datos.
En concreto, los operadores y suministradores de 5G deben cumplir con las medidas de seguridad aplicables a sistemas de información de categoría Alta contempladas en el ENS o, en su caso, las recogidas en la norma técnica 27002:2022. También deben someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G. El resultado de esta auditoría será presentado al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal. Y, además, el ENS5G también hace referencia a procesos de certificación de conformidad como el del ENS, los cuales se definirán en la correspondiente Instrucción Técnica de Seguridad, que concretará, asimismo, los requisitos exigibles a las entidades certificadoras.
El ENS5G tiene la vocación de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios de 5G destacando la necesidad de contar con capacidades de prevención, detección y respuesta de seguridad, así como la supervisión y control vía auditorías y procesos de certificación.
Para cumplir con estos objetivos no hay mejor camino a seguir que el establecido por el hermano mayor, el Esquema Nacional de Seguridad a través de su marco de control y su proceso de certificación de conformidad.
Con el ENS-5G tenemos todas las herramientas en mano para hacer frente a los riesgos emergentes de conectividad y garantizar un entorno digital seguro y resiliente para todos, y la experiencia del ENS nos dice que vamos por el buen camino.
