5G y geopolítica: la tecnología china, descalificada

Entre las tareas pendientes del actual Gobierno de España está el cumplimiento de la obligación impuesta por el Real Decreto-Ley 7/2022, de 29 de marzo sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones móviles 5G de tomar una determinación sobre los equipamientos identificados por los operadores que por estar fabricados con tecnología ajena al ámbito de la OCDE, o sea, chinos, pueden suponer una amenaza a la seguridad e integridad de las comunicaciones. Desde principios de año se viene reclamando en los medios de comunicación que al igual que han hecho otros países occidentales, el Gobierno exija la retirada y sustitución de tales equipamientos, evitando negocios peligrosos.

Todos los operadores de red móvil de España tienen instalados y en funcionamiento equipamientos de fabricación china, sea en el acceso radio, sea en la conmutación e igualmente han invertido en aplicaciones asociadas a la gestión y supervisión de tales equipamientos, con diferentes grados de integración vertical (es decir, con mayor o menor grado de integración con equipamientos de fabricantes del ámbito OCDE) y con diferente presencia en las respectivas redes. Conviene señalar antes de continuar que la presencia de los fabricantes chinos en las redes fijas de telecomunicaciones en España, sean de transporte o de acceso, es igualmente relevante, si bien por diversas razones la misma no ha suscitado un interés particular de los gobiernos occidentales, volcados en anticipar y mitigar los potenciales riesgos asociados a la llamada radio abierta, es decir la tecnología de acceso móvil que utiliza protocolos compartidos y basada en códigos públicos, sujetos a su modificación y evolución en función de los requerimientos del usuario, superando las limitaciones y dependencias asociadas a la tecnología "propietaria", que a su vez restringe en la práctica, por razones operativas y financieras, las opciones de sustitución (algo no muy diferente a la disyuntiva de un usuario de telefonía móvil al plantearse un cambio de terminal que lleve aparejado un cambio de sistema operativo, o sea entre Android e iOS).

Como se ha puesto particularmente de manifiesto con la declaración de la presidenta de la Comisión Europea en la última reunión del G-7 en Hiroshima en relación con la necesidad de eliminar los riesgos en las relaciones de la UE con China ("de-risking" en la expresión en inglés), la UE tiene una agenda y entramado de identificación, calificación y gestión de riesgos tecnológicos externos, específicamente en el ámbito de 5G, que se inició con la recomendación de la Comisión de marzo de 2019, seguida del mapa de riesgos 5G de la agencia de ciberseguridad de la UE (ENISA) de noviembre de ese mismo año y que se plasmó en la llamada "caja de herramientas" para redes 5G seguras de enero de 2020, en las vísperas de la pandemia, respecto de cuya implantación se informó por parte de los Estados miembros en julio de 2020.

Para entonces en España se había realizado una consulta pública, en diciembre de 2019, en relación con el impulso a la adopción de 5G, tras la adjudicación a Vodafone, Movistar y Orange del espectro de la "frecuencia estrella" alrededor de 3,5GHz en julio de 2018. En realidad, la estrategia española para 5G fue publicada en noviembre de 2020 y en su medida 15 se anticipaba, con lo que después se describió como una urgencia legislativa, la promulgación de una ley de ciberseguridad 5G que resultaría ser el Real Decreto-Ley 7/2022.

Para entonces los operadores habían empezado a comercializar servicios con la etiqueta "5G" (básico o "non-standalone") aunque sin las prestaciones técnicas asociadas a la nueva tecnología al apoyarse en el acceso de 4G (bajo la modalidad de "compartición dinámica del espectro"), por los retrasos en la disponibilidad de equipamientos debida a su vez a los de las especificaciones técnicas pendientes de definición por el organismo internacional de estandarización (3GPP). En paralelo, los fabricantes chinos (Huawei, ZTE) ya se habían posicionado idealmente para el asalto al mercado europeo -en el que ya estaban extensamente presentes- por la patente orientación gubernamental al desarrollo de las tecnologías punta de uso masivo, la intensidad de su esfuerzo innovador, la adopción más temprana de 5G en China y las ventajas de escala de los operadores móviles de ese gran país, con precios imbatibles. Venimos al presente reciente y la Directiva 2022/2555 "NIS 2" (de redes y sistemas de la información), cuya transposición al ordenamiento de los Estados miembros debe producirse antes de octubre de 2024, viene a reforzar las exigencias de convergencia en las políticas nacional de mitigación de riesgos críticos a través de la UE, a apoyar el intercambio continuado de conocimientos y capacidades entre países y, notablemente, a promover la resiliencia de las cadenas de suministro y otros objetivos estratégicos de seguridad de la UE, entre los que se contarían los enunciados por la presidenta de la Comisión y presumiblemente la intención de superar la sensación persistente de cerca de dos de cada tres ciudadanos europeos de falta de protección efectiva ante los ciberataques conforme a sucesivos Eurobarómetros. La invasión rusa de Ucrania ha desatado una prisa renovada para zanjar las vulnerabilidades de las infraestructuras críticas europeas, limitando, cuando no eliminando la dependencia de fabricantes chinos, una vez escenificada la alianza incondicional entre el agresor y el gigante asiático.

Previsiblemente el informe del Consejo de Seguridad Nacional para la declaración por el Gobierno, por acuerdo del Consejo de Ministros, de suministradores 5G de alto riesgo y de riesgo medio de acuerdo con el esquema nacional de seguridad de redes y servicios 5G a que hace referencia el artículo 20 del Real Decreto-Ley 7/2022 -lo que hubiera podido producirse a partir de finales de junio del año pasado, sin que hasta la fecha se haya producido tal declaración ni conste que se hayan remitido por los operadores de redes 5G al Ministerio de Asuntos Económicos y Transición Digital sus estrategias de diversificación de la cadena de suministro- se basará en afirmaciones similares a las reflejadas en la deliberação 1/2023 de la Comisión de Evaluación de Seguridad del Consejo Superior de Seguridad del Ciberespacio del Gobierno portugués del pasado 25 de mayo, conformes a las cuales todo suministrador 5G cuya sede o cabecera no esté domiciliado en un Estado miembro de la UE, de la OCDE o de la OTAN podría ser declarado de alto riesgo, confirmando la expectativa de sustitución y exclusión total de los equipamientos y sistemas de fabricantes chinos de la cadena de suministro 5G.

Tal decisión, en España diferida por razones varias (la sustitución de equipamientos tiene su complejidad y sus plazos y la imposición tácita de suministrador plantea desafíos en las negociaciones comerciales entre operadores y fabricantes) supondrá el inicio del declive en Europa de los fabricantes de redes chinos que además de verse correspondida con un trato recíproco a los fabricantes europeos por parte de las autoridades chinas, encontrará a los operadores con una comercialización todavía incipiente y escasamente rentable de servicios 5G, no obstante el decidido impulso público a la adopción de la tecnología a través de las ayudas a los pilotos 5G y especialmente a la subvención de la extensión de las redes de acceso 5G a zonas despobladas a través del programa UNICO (de "universalización de infraestructuras digitales para la cohesión").

Atrás quedarán los tiempos, a inicios de siglo, cuando los fabricantes de redes chinos hacían sus primeras incursiones en tecnologías básicas (como los buzones de SMS) siempre acotadas a ciertas partes de las redes, en las que los operadores tuvieran una cuota menor de los accesos, que fueron claramente a más, en una combinación de precios "súpercompetitivos" y una progresiva e imparable ventaja técnica que hacía su particular "ofensiva encantadora" irresistible.

Existía la duda hace casi veinte años y después la inquietud de si no se estarían poniendo elementos críticos de las redes en manos de entidades opacas, realmente desconocidas -en un escenario distinto al de la serena convivencia de las primeras décadas del siglo XXI, cuando Telefónica tenía una oficina en Pekín y una cierta participación en la entonces China Unicom- porque la propiedad estatal de ZTE era sabida y los rumores de que Huawei era un apéndice del ejército popular chino eran aceptados con cierta resignación, por un causa mayor, la de los cuantiosos ahorros que se estaban obteniendo con la compra de sus equipamientos y sistemas. Con la consolidación de los fabricantes chinos en los catálogos de proveedores de los operadores, aquellos pudieron negociar con mayor firmeza, conscientes de los costes asociados a su sustitución y las ventajas de la continuidad, en algunos casos logrando posiciones inexpugnables ante la ausencia de alternativas efectivas. Las circunstancias han cambiado: ahora preocupan los potenciales impactos en las funcionalidades de red asociadas a la compartición de la radio (mecanismo de ahorro en los despliegues al que recurren los operadores mediante un acuerdo de reparto de los emplazamientos), las potenciales dependencias críticas en componentes y de recursos en la nube en las que residen cada vez más las aplicaciones de gestión de red, la necesidad de contar con una certificación de ciberseguridad 5G única para toda la UE y, al final, la viabilidad de los fabricantes europeos que tendrían que tomar el relevo más o menos acelerado a los fabricantes chinos.

El pasado 2 de junio el comisario del mercado interno Thierry Breton recordó a los ministros del ramo de telecomunicaciones de la UE que tan sólo Dinamarca, Suecia, Estonia, Latvia y Lituania habían decidido la exclusión del equipamiento de países ajenos a la OCDE de las redes de sus respectivos operadores. En un discurso pronunciado por el mismo comisario el pasado 15 de junio resultaban ser ya diez los Estados miembros que habrían decidido la exclusión de equipamientos de los fabricantes Huawei y ZTE de sus redes 5G y se instaba con contundencia a Gobiernos y operadores a tener en cuenta la "caja de herramientas" ("toolkit" en inglés) de ciberseguridad 5G de la UE para proceder a tal exclusión. La reacción de Huawei no se ha hecho esperar y se ha recordado que tal exclusión habrá de ser pagada por los usuarios europeos, aunque sin duda de entrada tendrá su impacto en la capacidad de inversión de los operadores. En la creciente desconfianza entre los países miembros del G-7 más la UE y China se hace imperativo -aunque como ha alegado en su defensa Huawei hasta la fecha ninguna autoridad administrativa ni judicial de ninguno de los países en que está desplegado su equipamiento ha resuelto o fallado en contra suya por razones de seguridad- mostrar ámbitos tecnológicos reservados, tanto para proteger la integridad e invulnerabilidad de las comunicaciones cuanto para evitar la dependencia de proveedores que se sospecha podrían estar sometidos a una eventual potencia hostil.

La experiencia general de uso de equipamientos 5G de fabricantes chinos de referencia desplegados en España (NSA y SA, es decir, hibrido con 4G para el plano de señalización y con su propio plano de señalización con 100MHz contiguos de ancho de banda), para la radio, conmutación y procesamiento de datos en proximidad (MEC) es satisfactoria. En lo que concierne a los dispositivos de usuarios (terminales, routers, etc) la escasez de "chipsets" de última generación (que permiten entre otras cosas la división virtual de la red entre usuarios según niveles de servicio) y las restricciones de licenciamiento del sistema operativo Android han puesto sin embargo a los fabricantes chinos en clara desventaja, sin que sea necesaria una interdicción administrativa para impedir su uso. En última instancia, los criterios técnicos y comerciales, los rendimientos efectivos y la transparencia habrían de imponerse en la elección de suministrador de una tecnología que apenas comienza a despuntar, si no se quiere malograr sin haber rendido los resultados esperados. La integración en la red de los equipamientos, la gestión plenamente autónoma del control y operación de la red, la capacidad de resolución de todas las incidencias registradas y el recurso limitado al soporte técnico del llamado tercer nivel (asociado a cuestiones de diseño y configuración de base), con esquemas en los que la nacionalidad del titular de las patentes o el lugar de fabricación son idénticos para todos los proveedores -con independencia de que en ciertas jurisdicciones fuera de la UE se requiera la homologación por una entidad pública de verificación de los equipamientos- debieran inspirar la confianza requerida por la UE y en general otorgada por los operadores. Salvo en lo que concierne a comunicaciones oficiales y militares, la exclusión de fabricantes no basada en motivos estrictamente técnicos puede acarrear una reducción de alternativas presentes y futuras, con la consiguiente dependencia y encarecimiento de la tecnología necesaria para ofrecer servicios más robustos y eficientes. En última instancia, la asignación de recursos en mercados de capitales abiertos y supervisados y la celebración de acuerdos conforme a ordenamientos jurídicos seguros y tutelados por tribunales competentes es la mejor garantía de que las telecomunicaciones móviles civiles son competitivas, innovadoras y accesibles.

Alberto Horcajo, coFundador de Red Colmena