BRUSELAS, 9 Oct. (EUROPA PRESS) -
Los Veintiocho han alertado del riesgo de que "países hostiles" presionen "a proveedores de 5G para facilitar ciberataques que sirvan a sus intereses nacionales" en un informe en el que identifican las amenazas y riesgos comunes, que servirá de base para plantear medidas para mitigar los riesgos de seguridad asociados al desarrollo de las redes de quinta generación.
"Las amenazas planteadas por Estados, o actores con apoyo de Estados, son percibidas como las de mayor relevancia", reconocen en el informe. En él dejan claro que esta es la amenaza "más grave" y "probable", dado que los países o actores respaldados por Estados pueden provocar "apagones a gran escala o la perturbación significativa de servicios de telecomunicaciones explorando funciones no documentadas o atacando infraestructuras críticas interdependientes" como la red eléctrica.
En el documento, reconocen que la exposición al riesgo de que "países hostiles" presionen a los "proveedores de 5G para facilitar ciberataques" depende en gran medida del acceso del proveedor a la red, especialmente a sus equipos más sensibles. También depende "del perfil de riesgo de un proveedor individual", pero evitan señalar a compañías como Huawei o a China.
FACTORES QUE AGUDIZAN EL RIESGO DE INTERFERENCIA
Eso sí, avisan de que dicha "interferencia" pueden facilitarla factores como la existencia de "un vínculo fuerte entre el proveedor y un Gobierno" de un país tercero, las normas y la falta de controles "democráticos y legislativos" en vigor en estos países, la ausencia de acuerdos de seguridad o protección de datos con la UE, la estructura de propiedad corporativa de los proveedores y la capacidad de los terceros países de "ejercer cualquier tipo de presión", incluido en el lugar de fabricación de los equipos.
También piden tener en cuenta la "capacidad del proveedor de garantizar el suministro" y la "calidad global" de sus productos y prácticas en materia de ciberseguridad, "incluido el grado de control de su propia cadena de suministro" y si priorizan las medidas de seguridad. Así, también temen que infiltrados en empresas teleoperadoras o subcontratistas puedan ayudar a países a acceder a equipos críticos. "La acción de los subcontratistas puede deberse a un requisito legal impuesto por un país tercero o al comportamiento corrupto" del personal contratista.
Varios países han identificado que algunos países terceros "representan una ciberamenaza particular para sus intereses nacionales en base al 'modus operandi' de ataques previos por parte de determinadas entidades o la existencia de un programa ciberofensivo de un tercer Estado determinado contra ellos". También ven riesgo de que grupos del crimen organizado exploten las redes 5G para sus actividades delictivas.
LAS VULNERABILIDADES TECNOLÓGICAS AUMENTARÁN SIGNIFICATIVAMENTE
Dado que las redes 5G se basarán en gran medida en 'software', los Veintiocho avisan de que las vulnerabilidades --por ejemplo por un mal diseño, problema de configuración o actualización o medidas de seguridad débiles por parte de los operadores-- se agudizarán "significativamente". La "descentralización" de la infraestructura de las redes también hace más difícil gestionar los riesgos, que vendrán por un mayor número de puntos de entrada.
"Si los proveedores tienen acceso a la red, tienen la posibilidad de manipular ciertas funcionalidades", como la de interceptación y desviar el tráfico de datos, insisten en el informe, en el que recuerdan que estos problemas "no son fáciles de detectar para el operador".
Los Veintiocho también avisan de que los operadores radicados en la UE que dependan en exceso de un proveedor de equipos único se verán expuestos si éste, por ejemplo, se ve sometido a "presión comercial", es objeto de fusión o adquisición o "sanciones". La dependencia para un operador de red móvil de un único proveedor de un país tercero o un proveedor dominante para varias redes "expone un número de vulnerabilidades enormes", pero especialmente de "quiebras sistemáticas o explotación hostil".
"La falta de diversidad de proveedores aumenta la vulnerabilidad global de la infraestructura de 5G, en particular si un gran número de operadores" dependen de equipos "sensibles" de proveedores que presentan "un elevado nivel de riesgo", insisten en el informe.
Los Veintiocho admiten que solo "un puñado de compañías globales" son capaces de suministrar a los operadores de telecomunicaciones con las "tecnologías requeridas" y recuerdan que Huawei, Ericsson y Nokia son los mayores proveedores, aunque también incluyen a la también china ZTE, Samsung y Cisco.
"Los operadores de redes móviles que ofrecen sus servicios en la UE están sujetos a la legislación de la Unión y nacional de los Estados miembros", avisan en el informe, en el que dejan claro que, en este sentido, pueden imponerles el requisito de autorización previa y también "obligaciones específicas por sectores".
El comisario de Seguridad, Julian King, ha defendido que "no hay que poner el carro por delante del burro", al ser preguntado por el hecho de que el informe evita señalar a Huwei y qué ocurriría si los Gobiernos no llegan a un acuerdo común para vetar a la compañía china en el desarrollo de sus redes 5G. "No vamos a adelantarnos a las conclusiones", ha avisado, recordando que para final de año, una vez analizado el informe, propondrán posibles medidas de mitigación de riesgo, cuya aplicación en última instancia es responsabilidad de los gobiernos nacionales.
Su homóloga de Economía y Sociedad Digitales, Mariya Gabriel, ha subrayado la importancia de que haya "un enfoque común" y ha justificado mantener la "neutralidad" respecto a países o empresas concretas, dejando claro que lo principal es garantizar un "elevado" nivel de seguridad, al tiempo que ha precisado que el grupo de Reguladores Europeos (BEREC) emitirán "una opinión" de las medidas de mitigación posibles.
La embajadora adjunta de Finlandia ante la UE, Minna Kivimaki, cuyo país ejerce la presidencia de turno del Consejo, ha insistido en que el objetivo de la evaluación conjunta de los riesgos es, precisamente, "evitar diferentes tipos de enfoques" al final.
El informe se basa en las evaluaciones de riesgo a nivel nacional que ha hecho cada uno de los países. Entre las primeras medidas de mitigación de riesgos que plantean los gobiernos figuran, entre otros, obligar a los operadores de telecomunicaciones a reforzar la seguridad de la red, regímenes de autorización previa para desplegar ciertos tipos de equipos de redes, "restricciones en partes sensibles particulares de redes" y "obligaciones dirigidas a aumentar la transparencia y en algunos casos el control sobre cadenas de suministro, incluido hasta los proveedores de equipos y subcontratistas". Estas opciones que ahora se discutirán "más" en el marco de la evaluación de riesgos que se hará a nivel europeo.