La UE alerta de los riesgos de seguridad de las redes 5G

Las redes 5G constituirán la futura espina dorsal de nuestras economías y sociedades cada vez más digitalizadas. Estas redes afectan a miles de millones de objetos y sistemas, entre los que se encuentran sectores fundamentales como la energía, el transporte, la banca y la sanidad, así como sistemas de control industrial. Por lo tanto, es esencial garantizar la seguridad y resistencia de las redes 5G. Pues bien, los Estados miembros, con el apoyo de la Comisión y de la Agencia de la Unión Europea para la Ciberseguridad, han publicado un informe sobre la evaluación coordinada de riesgos realizada por la UE acerca de la ciberseguridad de las redes de quinta generación (5G).

El informe define varios retos importantes en materia de seguridad que pueden aparecer o acentuarse en las redes 5G. Estos están principalmente relacionados con innovaciones fundamentales en la tecnología 5G (que también aportarán una serie de mejoras específicas en materia de seguridad), y en particular el gran número de programas informáticos y la amplia gama de servicios y aplicaciones que permiten las 5G; y el papel de los proveedores en la constitución y explotación de las redes 5G y el grado de dependencia respecto a cada proveedor.

En el informe se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos, a fin de determinar las medidas paliativas que pueden aplicarse a escala nacional y europea. En concreto, se prevé que el despliegue de las redes 5G tenga como principal efecto el aumento de la exposición a ataques y más puntos de entrada potenciales para los atacantes. Según señala, con unas redes 5G cada vez más basadas en programas informáticos, adquieren gravedad los riesgos relacionados con grandes defectos de seguridad, como los derivados de un desarrollo deficiente de los programas informáticos entre los proveedores. También podrían facilitar a determinados agentes de riesgo introducir malévolamente puertas traseras en los productos y dificultar su detección.

Otro riesgo es que, debido a las nuevas características de la arquitectura de las redes 5G y a sus nuevas funcionalidades, determinados equipos o funciones de red son cada vez más delicados, como las estaciones de base o las funciones clave de gestión técnica de las redes.

Por otra parte, existe una mayor exposición a los riesgos relacionados con la dependencia de los operadores de redes móviles respecto a los proveedores. Esto también facilitará un mayor número de vías de ataque que podrían ser explotadas por agentes de riesgo y aumentará la gravedad potencial del efecto de tales ataques. Entre los distintos agentes potenciales, los Estados no pertenecientes a la UE o aquellos respaldados por Estados son los más peligrosos y los que más probabilidades tienen de atacar las redes 5G. En este contexto, el perfil de riesgo de cada proveedor será especialmente importante, incluida la probabilidad de que el proveedor se vea afectado por la interferencia de un país no perteneciente a la UE.

El informe señala asimismo que una gran dependencia respecto a un único proveedor aumenta la exposición a una posible interrupción del suministro, derivada, por ejemplo, de un fallo comercial, y a sus consecuencias. También agrava el efecto potencial de los puntos débiles o vulnerables y su posible explotación por agentes de riesgo, en particular cuando la dependencia se refiere a un proveedor que presenta un alto grado de riesgo.

Por último, las amenazas a la disponibilidad e integridad de las redes se convertirán en graves preocupaciones en materia de seguridad. Se prevé que las redes 5G se conviertan en la espina dorsal de muchas aplicaciones informáticas cruciales, por lo que la integridad y la disponibilidad de estas redes se convertirán en importantes problemas de seguridad nacional y en un importante reto de seguridad desde el punto de vista de la UE.

En conjunto, estos retos crean un nuevo paradigma de seguridad, por lo que es necesario reevaluar el marco actual de seguridad y políticas aplicable al sector y a su ecosistema, y será esencial que los Estados miembros adopten las medidas paliativas necesarias. Así, a más tardar el 31 de diciembre de 2019, el Grupo de Cooperación debe acordar un conjunto de medidas paliativas para abordar los riesgos de ciberseguridad detectados a escala nacional y de la Unión.