Open RAN plantea oportunidades y riesgos para la seguridad 5G, según un informe de la UE

Según este informe, que se enmarca dentro de los trabajos de seguridad de las redes 5G de UE, señala que Open RAN proporcionará en los próximos años una forma alternativa de implementar la parte de acceso por radio de las redes 5G basada en interfaces abiertas. 

En lo que respecta a las implicaciones de seguridad de Open RAN, el informe señala que podría brindar oportunidades potenciales de seguridad, siempre que se cumplan ciertas condiciones. A través de una mayor interoperabilidad entre los componentes de RAN de diferentes proveedores, podría permitir una mayor diversificación de proveedores dentro de las redes en la misma área geográfica. Esto podría contribuir a lograr la recomendación de EU 5G Toolbox de que cada operador debe tener una estrategia adecuada de múltiples proveedores para evitar o limitar cualquier dependencia importante de un solo proveedor. También podría ayudar a aumentar la visibilidad de la red mediante el uso de interfaces y estándares abiertos, reducir los errores humanos mediante una mayor automatización y aumentar la flexibilidad mediante el uso de virtualización y soluciones basadas en la nube.

Sin embargo, el concepto Open RAN aún carece de madurez y la ciberseguridad sigue siendo un desafío importante. Según el estudio, especialmente a corto plazo, al aumentar la complejidad de las redes, Open RAN exacerbaría una serie de riesgos de seguridad. Esos riesgos incluyen una mayor superficie de ataque y más puntos de entrada para actores maliciosos, un mayor riesgo de configuración incorrecta de las redes y posibles impactos en otras funciones de la red debido al uso compartido de recursos. El informe también señala que las especificaciones técnicas, como las desarrolladas por O-RAN Alliance, no son lo suficientemente maduras y seguras por diseño. Open RAN podría generar dependencias críticas nuevas o mayores, por ejemplo, en el área de componentes y la nube.

Para mitigar estos riesgos y aprovechar las oportunidades potenciales de Open RAN, el informe recomienda una serie de acciones basadas en la caja de herramientas 5G de la UE, en particular:

Usar los poderes regulatorios para poder examinar los planes de implementación de Open RAN a gran escala de los operadores móviles y, si es necesario, restringir, prohibir y/o imponer requisitos o condiciones específicos para el suministro, implementación a gran escala y operación del equipo de red Open RAN;

-- Reforzar los controles técnicos clave, como la autenticación y la autorización, y adaptar el diseño de monitorización a un entorno modular donde se monitorea cada componente;

-- Evaluar el perfil de riesgo de los proveedores de Open RAN, proveedores de servicios externos relacionados con Open RAN, proveedores de servicios/infraestructura en la nube e integradores de sistemas, y extender los controles y restricciones de los MSP (proveedores de servicios administrados) a esos proveedores;

-- Abordar las deficiencias en el desarrollo de especificaciones técnicas: el proceso debe satisfacer los principios fundamentales de la Organización Mundial del Comercio (OMC)/Obstáculos Técnicos al Comercio (TBT) para el desarrollo de estándares internacionales [1] y se deben abordar las deficiencias de seguridad;

-- Incluir componentes Open RAN en el futuro esquema de certificación de ciberseguridad 5G, actualmente en desarrollo, en la etapa más temprana posible.

En cuanto a la preservación y consolidación de las capacidades de la UE en este mercado, debe mantenerse una regulación tecnológicamente neutra para fomentar la competencia. En este marco, la financiación nacional y de la UE para la investigación y la innovación en 5G y 6G podría utilizarse para apoyar las oportunidades de los jugadores de la UE de competir en igualdad de condiciones. Más allá de la RAN, también es importante abordar las dependencias potenciales o la falta de diversidad en toda la cadena de valor de la comunicación para la diversificación de la oferta.

En general, el informe recomienda un enfoque cauteloso para avanzar hacia esta nueva arquitectura. Cualquier transición y coexistencia con tecnologías confiables existentes debe realizarse permitiendo suficiente tiempo y recursos para evaluar los riesgos por adelantado, implementar mitigaciones apropiadas y definir claramente las responsabilidades en caso de falla o incidente.