En el contexto de los efectos de la invasión de Ucrania así como el elevado riesgo de ciberataques contra redes y servicios 5G, España acelera un decreto para someter a los suministradores de servios 5G a “estrictos controles de seguridad” con el fin de “garantizar la independencia de injerencias externas”.
Según se asegura desde el Departamento de Seguridad de España la “complejidad técnica” y el “nuevo paradigma” de la tecnología 5G provoca que los retos de seguridad que plantea no puedan abordarse “en su totalidad” con las normas sobre seguridad e integridad de las redes de comunicaciones electrónicas existentes.
Por otro lado, también destacan el importante cometido de los suministradores en la arquitectura y en la gestión de la red, así como su apertura a múltiples usos y aplicaciones que aumentan los posibles puntos de ataque, y aconsejan tomar precauciones para evitar incidentes que sean atribuibles a dichos suministradores. Por este motivo el Real Decreto-Ley 7/2022 somete a los suministradores 5G a estrictos controles de seguridad para garantizar su fiabilidad técnica y su independencia de injerencias externas.
En este contexto y tomando en consideración los efectos de la invasión de Ucrania (así como el elevado riesgo de ciberataques contra redes y servicios 5G ya desplegadas en nuestro país o con despliegue previsto para los próximos meses) se ha considerado que concurren las razones de “extraordinaria y urgente necesidad” a las que se refiere el artículo 86 de la Constitución Española para la tramitación del proyecto como Decreto ley. Desde el Departamento de Seguridad Nacional aseguran que en la elaboración de este Real Decreto Ley se han tenido en cuenta las siguientes recomendaciones:
- La Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la Comisión Europea, sobre la ciberseguridad de las redes 5G.
- El análisis de riesgos coordinado de los Estados miembros, y la “caja de herramientas” que acordaron como base común para un desarrollo seguro de la tecnología 5G en Europa.
- Las recomendaciones fundamentales que la Comisión Europea, a través de su Comunicación de 29 de enero de 2020 “Despliegue seguro de la 5G en la UE – Aplicación de la caja de herramientas de la UE” (COM/2020/50 final), realizaba a los Estados miembros sobre la utilización de la “caja de herramientas”.
Principales medidas
Calificación de suministradores 5G como de alto riesgo. En el plazo de 3 meses, el Gobierno (mediante acuerdo adoptado por el Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y previa audiencia de los operadores y suministradores 5G) podrá calificar que determinados suministradores son de “alto riesgo”. A tal efecto, el Gobierno analizará tanto las garantías técnicas como su exposición a injerencias extranjeras. Los suministradores de alto riesgo, cuyos equipos o servicios sean utilizados exclusivamente en redes privadas o en régimen de auto prestación, serán calificados como de riesgo medio.
Prohibición de uso de equipos, productos o servicios de suministradores de alto riesgo en elementos críticos de la red. Además, en elementos críticos de la red ni en el acceso a estaciones que proporcionen cobertura a centrales nucleares, no podrán utilizarse centros vinculados a la Defensa Nacional y otros que, por su vinculación a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos, determine el Consejo de Seguridad Nacional, previo informe del Ministerio de Asuntos Económicos y Transformación Digital (MAETD).
Obligaciones de seguridad de los operadores 5G. Entre otras obligaciones, los operadores 5G deberán someterse a una auditoría de seguridad, cumplir con los esquemas de certificación europeos, controlar su cadena de suministro e inspeccionar su estrategia de diversificación. Además, deberán remitir esta estrategia al MAETD en el plazo de 6 meses si son titulares o explotan elementos críticos de la red, e informar anualmente sobre su estado de ejecución.
Asimismo, deberán recabar de sus suministradores las prácticas y medidas de seguridad que han adoptado en los productos y servicios suministrados. Por otro lado, tamnbiñen tendrán que ubicar los elementos críticos de las redes públicas 5G dentro del territorio nacional. Por último, cada dos años realizarán un análisis de riesgos que remitirán al MAETD.
Obligaciones de seguridad de los suministradores 5G
Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio deberán informar en seis meses al MAETAD sobre los riesgos y las medidas de seguridad implementadas. Después, informarán periódicamente cada dos años.
Esquema Nacional de Seguridad de redes y servicios 5G
El Real Decreto-Ley 07/2022 prevé el establecimiento de un Esquema Nacional de Seguridad de redes y servicios 5G, que será aprobado por el Gobierno mediante real decreto a propuesta del MAETD y previo informe del Consejo de Seguridad Nacional; y se revisará al menos cada cuatro años.
Este Esquema efectuará un análisis de riesgos a nivel nacional e identificará, concretará y desarrollará medidas para mitigar y gestionar los riesgos analizados. Asimismo, incluirá las líneas generales y prioridades de las ayudas públicas que sean convocadas para fomentar la investigación y el desarrollo en materia de seguridad de las redes y servicios 5G, así como para la formación de personal especializado.
El impacto de la guerra de Ucrania en la geopolítica del 5G
Según The Objective el Ejecutivo español siempre ha defendido no señalar a empresas directamente y apostar por un marco de condiciones entre las que “se evaluarían con criterios técnicos la idoneidad de los proveedores”. Sin embargo, la redacción del texto final conocido esta semana establece un marco diferente.
Según las fuentes, la guerra de Ucrania “lo ha cambiado todo” y ha propiciado la aprobación de estas leyes sobre cuestiones de ciberseguridad claves en medio del conflicto. Una situación que obliga a operadoras como Telefónica, Orange, Vodafone o en menor medida MásMóvil, a comenzar a construir sus nuevas redes 5G sin contar con “estos proveedores”, pese a que desde el punto de vista comercial son más rentables.
“Durante años, Huawei ha destinado muchos recursos para ser muy eficientes a precios competitivos en materia de desarrollo e investigación del 5G, mientras que Europa y Estados Unidos van muy por detrás de China. Obviamente, esta ventaja competitiva hace que sus proyectos sean mucho más eficientes”, apuntan fuentes del sector de las telecomunicaciones.
En todo caso, los suministradores 5G que sean calificados de “alto riesgo” o de “riesgo medio” deberán llevar a cabo el análisis de riesgos cada dos años y remitirlo al Ministerio de Asuntos Económicos y Transformación Digital. Esto permite bloquear a empresas chinas como Huawei ahora y revisar su condición en dos años, cuando la situación geopolítica pueda ser diferente. Según los expertos, este es un gran giro puesto que desde el Gobierno español se defendió a Huawei en varias ocasiones para no entorpecer las relaciones con China.
Tal y como aseguraba en Andrés González, alumno certificado del Curso de Experto en la Unión Europea de LISA Institute en su artículo “Análisis de la Guerra del 5G”, el país que consiga monopolizar (o controlar) la tecnología 5G establecerá las normas y tendrá la capacidad de crear riesgos y vulnerabilidades de seguridad nacional cuando un estado hostil a sus intereses actúe.
El 5G constituirá una base tecnológica capaz de realizar una rápida innovación en la constitución de la cadena de suministros segura tanto para el espionaje como para el boicot de infraestructuras críticas. A su vez, el liderazgo 5G proporcionara una base de innovaciones tecnológicas que impulsaran la capacidad militar y el crecimiento económico.
Es imperativo que occidente cree un frente común y preste atención contrarrestando el desarrollo chino en el apartado de las telecomunicaciones, en especial al relacionado con el “Smart City-Public Security”. Los servicios tecnológicos chinos relacionados con el 5G ya han sido acogidos por multitud de países africanos y, próximamente, en uno europeo (Serbia), frenando con ello el dominio occidental de estas tecnologías a medio-largo plazo, sumado a las consecuencias empresariales y de espionaje que acarreará esta situación en las próximas décadas.
