El Congreso de los Diputados convalidó el pasado 28 de abril el Real Decreto-Ley 7/2022 que establece la nueva normativa de ciberseguridad para el 5G, aprobado por el Consejo de Ministros a finales de marzo. Un procedimiento de urgencia que no es, sin embargo, lo más destacado de la nueva ley de seguridad de las redes y servicios 5G. La norma obligará a las operadoras de telecomunicaciones a sustituir en un plazo máximo de dos años los equipos de sus redes suministrados por “proveedores de alto riesgo”, si estos cubren zonas críticas o servicios esenciales, una tarea que puede afectar notablemente a la implentación del 5G en nuestro país. Indudablemente, nos encontramos en un momento de alta tensión geopolítica, pero, ¿está justificada una medida tan estricta que afectará de lleno a un sector clave como el de las telecomunicaciones?
Planes para la Ciberseguridad
La ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación parte de la base de que “para que las redes 5G desarrollen el potencial que encierran, es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a fugas o manipulaciones de datos o comunicaciones”.
Su principal objetivo es “impulsar una seguridad integral del ecosistema generado por la tecnología 5G” y, para ello, apuesta por reforzar la seguridad de instalaciones y operaciones, diversificar el mercado de proveedores y “fomentar las actividades de I+D+i nacionales en ciberseguridad relacionadas con la tecnología 5G”. Todo ello se aplica tanto a operadores como a suministradores 5G, así como a los usuarios corporativos de redes y servicios de quinta generación.
Pero, sin duda, operadores y suministradores serán los más afectados por la Ley de Ciberseguridad 5G, que establece que las compañías de telecomunicaciones deberán sustituir los equipos, productos o servicios proporcionados por los suministradores declarados “de alto riesgo” en un plazo de cinco años desde dicha declaración. Plazo que se reduce a dos años si estos elementos dan cobertura a “zonas críticas” o “servicios esenciales”.
Este veto a los “proveedores de riesgo” también afectará a las Administraciones Públicas cuando exploten redes públicas 5G. La norma deja, además, potestad al Gobierno para modificar los citados plazos de sustitución al emitir la declaración de alto riesgo, aunque nunca podrían ser menores de un año.
Aunque la ley, obviamente, no menciona de manera explícita ningún suministrador, observadores del sector han apuntado a los fabricantes chinos como Huawei -líder mundial en la fabricación de equipos para redes móviles- y ZTE como los proveedores con más posibilidades de ser calificados “de alto riesgo”.
Otro aspecto importante es la obligación que tendrán las operadoras de diversificar sus proveedores de redes de telecomunicaciones 5G: como mínimo, deberán ser dos. A priori, esto no cambiaría la situación de Movistar, que trabaja con Ericsson, Nokia y Huawei; Vodafone -que usa equipos de Huawei y Ericsson-, ni Orange -que cuenta con Huawei, Ericsson y ZTE-. Pero sí podría tener más impacto otra restricción planteada en la nueva ley: sobre los teléfonos móviles y otros terminales, cuya fabricación y comercialización estará sometida al cumplimiento de unos requisitos relacionados con la ciberseguridad, protección de datos personales, privacidad y protección contra el fraude.
Asimismo, la nueva norma establece la creación del primer Esquema Nacional de Seguridad de redes y servicios 5G, que deberá estar aprobado antes de seis meses y cuya función será llevar a cabo un tratamiento integral de la seguridad de estas redes y servicios. Por su parte, la entidad encargada de hacer cumplir las medidas estipuladas en la ley de seguridad de las redes 5G será el Ministerio de Asuntos Económicos y Transformación Digital, dirigido por Nadia Calviño.
La Ley de Ciberseguridad 5G se enmarca en la Estrategia Nacional de Ciberseguridad, publicada por el Gobierno en 2019, y ya estaba incluida como una de las reformas previstas en el Plan de Recuperación, Transformación y Resiliencia. Concretamente, entre las dedicadas a conectividad digital, impulso de la ciberseguridad y despliegue del 5G. También incorpora las recomendaciones fundamentales emitidas en 2020 por la Comisión Europea sobre el “Despliegue seguro de la 5G en la UE y Aplicación de la caja de herramientas de la UE”. Paralelamente, el Ejecutivo ha aprobado el Plan Nacional de Ciberseguridad, que estará dotado con una inversión superior a los 1.200 millones de euros. Con todo ello, según Calviño, se pretende “responder de manera adecuada al mayor riesgo geopolítico actual”.
Riesgos de ciberseguridad y “zonas críticas”
Además de impulsar la telefonía móvil, las redes 5G dan soporte a tecnologías que van a marcar el futuro de nuestras economías, como los objetos conectados y el Internet de las Cosas. Es por ello que estas redes se consideran infraestructuras críticas.
Las posibles amenazas y vulnerabilidades pueden afectar a las funciones del núcleo o core de la red, donde reside la mayor parte de la inteligencia y funciones de la misma, así como la base de datos de los clientes. Y también a las funciones de radio, el transporte y transmisión de datos; los sistemas de control y gestión; los servicios de apoyo, y los intercambios de tráfico con redes externas e Internet.
Aparte de los riesgos inherentes a una red inalámbrica, las 5G plantean algunas cuestiones propias, derivadas de su mayor número de puntos de enrutamiento de tráfico, lo que precisa una seguridad más descentralizada; de la mayor velocidad y volumen de datos resultantes de un ancho de banda superior, y de las carencias de seguridad que todavía plantean muchos dispositivos IoT que se conectan a estas redes.
A la hora de determinar los riesgos asociados al 5G, y las medidas para prevenirlos, la Ley de Ciberseguridad 5G emplea dos tipos de criterios: técnicos y estratégicos. Entre los primeros, hay criterios de solvencia técnica de los equipos, productos y servicios; de adecuación a los estándares internacionales y de superación de auditorías independientes de seguridad.
En cuanto al análisis de las medidas estratégicas y la exposición a injerencias externas, se valoran los vínculos de los proveedores y su cadena de suministro con Gobiernos de terceros países, tanto en la composición de su capital social y la estructura de sus órganos de gobierno, como en el poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.
También se tienen en cuenta la legislación y la política de ciberdefensa de dicho Estado y su normativa de protección de datos personales. Y no menos importante, los tratados internacionales y los acuerdos con España firmados por ese país en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos.
Respecto a las “zonas críticas” y “servicios esenciales” cubiertos por redes 5G que menciona la nueva ley, esta especifica como tales las “centrales nucleares y centros vinculados a la Defensa Nacional”, así como aquellas ubicaciones y centros vinculados a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos. Aunque estos últimos deben ser determinados por el Consejo de Seguridad Nacional, centros considerados típicamente como esenciales son los nodos de transporte (aeropuertos, puertos, estaciones), centrales eléctricas y de suministro de agua, hospitales o redes de comunicaciones.
Cómo puede afectar esta normativa a las operadoras
Las futuras restricciones sobre el origen y la diversidad de los proveedores 5G no han gustado nada a las compañías de telecomunicaciones, que se enfrentan a la posibilidad de tener que cambiar buena parte de su infraestructura de redes 5G en dos años. Si finalmente se materializa el veto a los proveedores chinos, Movistar, Vodafone y Orange, que utilizan equipos de Huawei -Orange trabaja también con ZTE-, se verían directamente afectadas.
Las operadoras de telecomunicaciones consideran que la nueva normativa es muy perjudicial para el sector, ya que encarecería los costes y limitaría seriamente los futuros despliegues de las redes 5G. Y es que los operadores no van a invertir si tienen que desmontar toda su estructura tecnológica anterior basada en proveedores declarados de riesgo, porque, según defienden, “no están para más vueltas de tuercas”. No es el momento de inventos raros y esta medida puede tener justamente el efecto opuesto al objetivo del plan de digitalización del Gobierno, según defienden.
Además, según destaca La Información, las operadoras denuncian que la falta de concreción de la nueva ley provoca “inseguridad jurídica”, ya que no deja claro si la posible prohibición de equipos de proveedores chinos se limita solo a las redes 5G, o afectaría también al 4G y a otras infraestructuras anteriores. Hay que tener en cuenta que el core de las redes 4G es utilizado también por las redes de quinta generación actuales. Si además hubiera que retirar todos los equipos de telecomunicación, sistemas de transmisión y de conmutación, ello provocaría grandes sobrecostes y un retraso en el despliegue del 5G en los próximos tres años.
Por ello, las telecos esperan que no se haga esta interpretación tan extensiva del texto normativo y confían en resolver estas dudas antes de que se elaboren las primeras listas de proveedores de alto riesgo. En este sentido, las principales operadoras contarían con que no habrá un veto por parte del Gobierno antes de verano, lo que daría cierto margen para la negociación.
También exigen al Gobierno más concreción sobre los plazos de sustitución y las infraestructuras afectadas. El plazo general de cinco años, aunque ajustado, es más asumible que el de dos años fijado para las estaciones radioeléctricas que cubren zonas críticas, servicios esenciales y ligados a la seguridad nacional. El problema para las compañías es saber qué criterio se usará para definir esas ubicaciones y centros calificados como críticos, y cuándo dispondrán de la lista de dichas infraestructuras elaborada por el Consejo de Seguridad Nacional.
Otro aspecto que complicaría la situación de las compañías de telecomunicaciones es la diversificación de proveedores establecida en la nueva norma. Si cada operadora debe tener como mínimo dos suministradores diferentes de redes 5G y los procedentes de China son vetados, el abanico se reduciría prácticamente a la sueca Ericsson y la finlandesa Nokia (más allá de que esta circunstancia pueda representar una oportunidad para proveedores como la surcoreana Samsung, que aunque con menos experiencia puede encontrar de esta manera su oportunidad para entrar en el mercado).
Aumento de costes, retrasos y pérdida impacto sobre el PIB
Una interpretación estricta de esta norma, según expertos consultados, tendría otras consecuencias para el desarrollo de la tecnología 5G en nuestro país. Por un lado, una menor competencia implicaría mayores costes y, por tanto, servicios más caros. Según un estudio realizado por Oxford Economics, si se impide competir en el mercado 5G a alguno de los principales fabricantes que actualmente están ofreciendo sus soluciones en el mercado los costes de despliegue de 5G para los operadores se incrementarán aproximadamente un 19% durante los próximos años, un periodo clave para acelerar y completar la cobertura 5G y posibilitar la transformación digital de la sociedad.
Este encarecimiento supondría asimismo que los servicios avanzados basados en 5G llegarían más tarde. Y es que si esos costes de despliegue subieran, y considerando que cualquier empresa inversora (como los operadores) tienen unos ratios de inversión sobre ingresos que mantener estables para hacer sostenibles sus modelos de negocio, resultaría en que el plazo para alcanzar el mismo objetivo de cobertura 5G se retrasaría en el tiempo. Según el mencionado estudio de Oxford Economics, para un año concreto (por ejemplo 2023), estaríamos hablando de una desaceleración del 11% (cinco millones de ciudadanos) en la cobertura de la población española.
Como consecuencia, esa desaceleración en la llegada del 5G se traduciría a largo plazo en una pérdida en el impacto positivo sobre el PIB esperado por el 5G y la transformación digital asociada a su uso de aproximadamente 3.700 millones de euros.
¿Y qué dicen los fabricantes afectados?
En lo que se refiere a los proveedores que pueden verse afectados, Huawei señala a Escudo Digital que “la aplicación de la nueva ley de seguridad 5G debe hacerse de manera objetiva, proporcional y no discriminatoria”. El fabricante chino, propiedad de sus empleados, explica que dispone de un proceso completo de ciberseguridad para garantizar la seguridad de sus equipos y redes. Este Baseline abarca la protección del contenido de las comunicaciones y la privacidad de sus usuarios, la prevención del malware y los comportamientos maliciosos, la protección de datos sensibles, el control de los canales de acceso y la seguridad de las aplicaciones.
La compañía sostiene que “mejorar la seguridad de los productos es clave para mitigar los riesgos de incidentes de ciberseguridad que ocurren con frecuencia en todo el mundo” y recalca que su “marco de seguridad cibernética de extremo a extremo integra el Baseline en el proceso de desarrollo de productos como un requisito fundamental de seguridad. El Baseline y diversas actividades de garantía de calidad se implementan estrictamente para garantizar la seguridad del producto y prevenir incidentes”.
Condicionantes geopolíticos
Entonces, ¿cómo puede un proveedor que cumple los estándares de seguridad ser considerado “de alto riesgo”? Como hemos visto, el Consejo de Ministros, tras recibir el informe del Consejo de Seguridad Nacional y escuchar a los operadores y suministradores afectados, es quien efectúa esta declaración, analizando las garantías técnicas de funcionamiento y operatividad y su protección frente a ataques, pero también su “exposición a injerencias externas”.
En este sentido, el texto de la Ley de Ciberseguridad 5G cita explícitamente la guerra entre Ucrania y Rusia como causa del “incremento considerable del riesgo de ciberataques por motivos geoestratégicos” contra la Unión Europea. Aunque ya en octubre del año pasado, el informe Panorama de amenazas 2021, publicado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), advertía del aumento de estos riesgos.
Pero, ¿realmente compañías extranjeras privadas son susceptibles de servir como ejecutoras de políticas dictadas por los Gobiernos de sus naciones de origen? Así lo creen países como Estados Unidos, Suecia o Reino Unido, que ya han vetado a compañías como Huawei, ZTE, TikTok o Kaspersky, al considerarlas vinculadas a los Gobiernos de China y Rusia.
Estados Unidos fue pionero con la creación de la Entity List por parte del Bureau of Industry and Security (BIS), allá por 1997. En esta lista negra se incluyen aquellas compañías que resulten “sospechosas y potencialmente peligrosas para la seguridad” del país. La guerra comercial contra China emprendida por Donald Trump y continuada por Joseph Biden ha acelerado el ritmo de inclusión de compañías extranjeras en esta lista. En mayo de 2019, Huawei fue incluida en la Entity List, bajo la acusación de efectuar actividades de espionaje y ciberespionaje aprovechando su infraestructura y tecnología para obtener acceso a secretos industriales, datos de usuarios e información confidencial de varios países, que serían transmitidas al Gobierno chino.
Esta medida, que implica prohibir a la industria de la tecnología y las telecomunicaciones estadounidense hacer negocios con Huawei, ha sido seguida por aliados de EEUU, como Australia, Nueva Zelanda, Canadá, Japón, Suecia o Reino Unido. En Reino Unido, los operadores de telefonía móvil no pueden comprar nuevos equipos 5G Huawei desde 2021 y tendrán que haber desinstalado todo su kit 5G de sus redes para 2027, según la BBC. Los equipos de ZTE han sufrido prohibiciones similares en EEUU o Australia.
En España, Huawei recuerda que “llevamos más de 20 años acompañando al Gobierno y a las Administraciones en el despliegue de redes”, participando en los tres principales proyectos Piloto 5G de nuestro país promovidos por Red.es “en ámbitos como la telemedicina, ciudades inteligentes, turismo o robótica de emergencias”. Tras recordar que sus soluciones se usan por los principales operadores desde el lanzamiento comercial del servicio 5G en España, muestran su deseo de “seguir manteniendo nuestra firme apuesta por convertir a España en un país referente en digitalización”.
Asimismo, la compañía china ha declarado a Escudo Digital que “la transparencia de Huawei sigue a la disposición del Gobierno y de nuestros clientes, a través de las certificaciones Common Criteria, NESAS, Esquema Nacional de Seguridad, para nuestros diferentes productos, entre ellos el 5G”. “Huawei es el fabricante más auditado del mundo, y hemos demostrado a través de nuestro historial en tres décadas que somos una compañía segura y de confianza, operando en más de 170 países del mundo”, concluyen.
Por si el conflicto entre EE. UU. y sus aliados, por un lado, y algunas compañías chinas, por el otro, no fuera lo suficientemente complejo, la guerra en Ucrania, en la que España y la UE están interviniendo de forma indirecta, contribuye a aumentar la tensión y las sospechas. China, aliada de Rusia desde principios de este siglo, está manteniendo un apoyo tácito al Gobierno de Putin, no condenando la intervención rusa y conservando intactas sus relaciones comerciales. El interés de las autoridades de la UE por crear unas redes de telecomunicaciones con proveedores europeos y desmarcarse de los aliados de Rusia afectaría directamente a los intereses chinos si el gigante asiático mantiene su posición geoestratégica en los próximos meses.
Hay que señalar, no obstante, que ninguna de las acusaciones contra las compañías chinas ha sido probada. Los argumentos de los Gobiernos occidentales se basan sobre todo en los vínculos de algunos directivos de estas corporaciones con el Ejército y el Partido Comunista de China. Aunque la existencia de la Ley de Seguridad del Estado de China, que obliga a las empresas e individuos a “brindar asistencia con el trabajo relacionado con la seguridad del Estado”, también explicaría la postura occidental.
Sin embargo, no faltan analistas que ven en estas prohibiciones una dimensión más de la trampa de Tucídides en la que se encuentra inmerso Estados Unidos, que observa cómo una potencia emergente, China, amenaza su hegemonía económica y tecnológica global al tiempo que se alía con su principal rival militar, Rusia. Economía, influencia global, seguridad, guerra... todo apunta a que el desarrollo tecnológico en general y el despliegue del 5G en particular no van a poder sustraerse a condicionantes que poco tienen que ver con la tecnología.