El Gobierno conocía el alto riesgo en los sistemas de almacenamiento de Huawei, a los que confío, entre otras cosas, la custodia de los datos de los españoles en la Seguridad Social. Y es que el Instituto Nacional de Ciberseguridad (Incibe), un organismo dependiente del ministerio de Transformación Digital, ha emitido en los últimos años varias alertas ante la potencial amenaza que representaban los equipos OceanStor de Huawei, destinados al almacenamiento masivo de información.
Pocos meses antes de que la Seguridad Social los incorporara en 2020 para la custodia de millones de datos confidenciales de los españoles, el 13 de marzo de 2019 el Incibe advertía ya de una "vulnerabilidad crítica" en los dispositivos Huawei Ocean Stor UDD con un determinado software que, según decía, "podrían permitir que los atacantes remotos capturen y cambien la información".
Y tan solo unos meses después, en diciembre de 2019 se emitía otra alerta distinta -hubo una modificación en agosto de 2020- que afectaba también a estos equipos. "Presenta una vulnerabilidad de divulgación de información. Los atacantes con pocos privilegios pueden explotarla al realizar algunas operaciones específicas", se reiteraba entonces, calificando en esa ocasión el riesgo como alto.
Corrección
Aunque hay varios tipos de dispositivos OceanStor y las advertencias de seguridad no implican, en ningún caso, que se haya producido un incidente -de hecho, no hay por el momento ninguna prueba al respecto-, sí que existe un riesgo que, según el Incibe, "puede causar cierta divulgación de información".
Lejos de renunciar a estos equipos en la Seguridad Social, el Gobierno ha adjudicado este año a Telefónica el contrato de mantenimiento de los mismos hasta 2027, estableciendo, eso sí, que en el caso de que haya que proceder a un borrado y eliminación de los datos "internos, oficiales, confidenciales o secretos", debe ser la operadora la que se encargue. En Huawei insisten, no obstante, en que las incidencias detectadas por el Incibe son "habituales" y en que se corrigen de forma inmediata en cuanto se detectan.
De acuerdo con la clasificación de riesgos del organismo, las vulnerabilidades críticas alertan ante potenciales debilidades y fallos técnicos susceptibles de ser aprovechado por un malhechor, con riesgo cierto de acceso a información sensible con impacto en la organización o el usuario afectado. Ya sea por acceso no autorizado o por el potencial peligro de la fisura en el seguridad, el ciberintruso podría interrumpir los servicios mediante credenciales válidas.
Aunque la multinacional china insiste en que "la solución OceanProtect ofrece protección de los datos en todos los escenarios, que abarca recuperación completa en caso de desastre, backup y restauración rápidas y archivado en caliente", Estados Unidos y la Comisión Europea van en una línea opuesta.
Ambos han manifestado que Huawei representa un alto riesgo ante una posible fuga de datos a China. En este sentido, el pasado mes de julio Bruselas reclamó a todos los estados miembros de la Unión Europea "restringir o excluir a Huawei de sus redes 5G" y en agosto la Administración Trump instó al Gobierno a cancelar un contrato de 12,3 millones de euros con la tecnológica china para la custodia de datos judiciales, alegando riesgos para la seguridad. EEUU ha llegado incluso a amenazar con reducir la cooperación en inteligencia si España no daba marcha atrás, algo que por el momento no ha hecho.
Desde fuentes próximas a Huawei se recalca, en cualquier caso, la independencia de la compañía tras recordar que el Gobierno chino no es el dueño del grupo. La titularidad del 98,8% está en manos de la propia plantilla, a través de un programa de acciones de empleados, mientras que el 1,2% restante es del fundador, Ren Zhengfei.
Vulnerabilidades
Al margen de las vulnerabilidades detectadas en los sistemas de almacenamiento de Huawei, el Incibe ha alertado también de otras incidencias, de gravedad media o alta, en otros dispositivos, como los routers de uso doméstico.
Tan solo este año ha habido hasta cinco avisos que pueden afectar tanto a la "vulnerabilidad de seguridad" como a la disponibilidad o el rendimiento de los datos y que podrían afectar, de igual forma, a la "confidencialidad" de los mismos.
Más allá de la Seguridad Social, Huawei ha logrado adjudicaciones con otras instituciones o departamentos públicos, como Adif, la Corporació Catalana de Mitjans Audiovisuals, la Gerencia de la Empresa Municipal de Aguas y Saneamiento de Murcia e, incluso, el SIGMA, una Agrupación de Interés Económico (AIE) que aglutina a distintas universidades públicas a nivel nacional.
Lo que sí que ha hecho el Gobierno es anular el contrato para renovar con equipos de Huawei parte de la red de fibra óptica RedIRIS, utilizada por Defensa y las universidades, después de que Washington fijara el 31 de agosto como fecha límite para su cancelación.
De momento, la tecnológica china ha perdido en solo dos años la mitad de sus ingresos en España, pasando de 1.135 millones en 2023 a tan solo 646 millones de euros en el último ejercicio. El pasado año la tecnológica se vio obligada además a una regularización fiscal de casi 25 millones de euros tras una inspección de la Agencia Tributaria por los impuestos comprendidos entre 2017 y 2019.