El pasado 9 de octubre, la Comisión Europea publicaba un informe sobre la evaluación coordinada de riesgos realizada por la UE acerca de la ciberseguridad de las redes de quinta generación (5G). En el mismo se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.
Las redes 5G constituirán la futura espina dorsal de las economías y sociedades cada vez más digitalizadas. Estas redes afectan a miles de millones de objetos y sistemas, entre los que se encuentran sectores fundamentales como la energía, el transporte, la banca y la sanidad, así como sistemas de control industrial que contienen información delicada y sirven de respaldo a los sistemas de seguridad. Por lo tanto, es esencial garantizar la seguridad y resistencia de las redes 5G.
El informe se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros de la UE. Esta evaluación sirve de base para determinar las medidas paliativas que pueden aplicarse a escala nacional y europea.
Principales ideas de la evaluación coordinada de riesgos realizada por la UE
El informe define varios retos importantes en materia de seguridad que pueden aparecer o acentuarse en las redes 5G, en comparación con la situación en las redes existentes. Estos retos en materia de seguridad están principalmente relacionados con lo siguiente:
- innovaciones fundamentales en la tecnología 5G (que también aportarán una serie de mejoras específicas en materia de seguridad), y en particular el gran número de programas informáticos y la amplia gama de servicios y aplicaciones que permiten las 5G;
- el papel de los proveedores en la constitución y explotación de las redes 5G y el grado de dependencia respecto a cada proveedor.
En concreto, se prevé que el despliegue de las redes 5G tengan los efectos siguientes:
- Aumento de la exposición a ataques y más puntos de entrada potenciales para los atacantes: con unas redes 5G cada vez más basadas en programas informáticos, adquieren gravedad los riesgos relacionados con grandes defectos de seguridad, por ejemplo, los derivados de un desarrollo deficiente de los programas informáticos entre los proveedores. También podrían facilitar a determinados agentes de riesgo introducir malévolamente puertas traseras en los productos y dificultar su detección.
- Debido a las nuevas características de la arquitectura de las redes 5G y a sus nuevas funcionalidades, determinados equipos o funciones de red son cada vez más delicados, como las estaciones de base o las funciones clave de gestión técnica de las redes.
- Una mayor exposición a los riesgos relacionados con la dependencia de los operadores de redes móviles respecto a los proveedores. Esto también facilitará un mayor número de vías de ataque que podrían ser explotadas por agentes de riesgo y aumentará la gravedad potencial del efecto de tales ataques. Entre los distintos agentes potenciales, los Estados no pertenecientes a la UE o aquellos respaldados por Estados son los más peligrosos y los que más probabilidades tienen de atacar las redes 5G.
- En este contexto de aumento de la exposición a los ataques facilitados por los proveedores, el perfil de riesgo de cada proveedor será especialmente importante, incluida la probabilidad de que el proveedor se vea afectado por la interferencia de un país no perteneciente a la UE.
- Aumento de los riesgos derivados de las principales dependencias respecto a los proveedores: una gran dependencia respecto a un único proveedor aumenta la exposición a una posible interrupción del suministro, derivada, por ejemplo, de un fallo comercial, y a sus consecuencias. También agrava el efecto potencial de los puntos débiles o vulnerables y su posible explotación por agentes de riesgo, en particular cuando la dependencia se refiere a un proveedor que presenta un alto grado de riesgo.
- Las amenazas a la disponibilidad e integridad de las redes se convertirán en graves preocupaciones en materia de seguridad: además de las amenazas a la confidencialidad y la intimidad, se prevé que las redes 5G se conviertan en la espina dorsal de muchas aplicaciones informáticas cruciales, por lo que la integridad y la disponibilidad de estas redes se convertirán en importantes problemas de seguridad nacional y en un importante reto de seguridad desde el punto de vista de la UE.
En conjunto, estos retos crean un nuevo paradigma de seguridad, por lo que es necesario reevaluar el marco actual de seguridad y políticas aplicable al sector y a su ecosistema, y será esencial que los Estados miembros adopten las medidas paliativas necesarias.
Próximas etapas
A más tardar el 31 de diciembre de 2019, el Grupo de Cooperación debe acordar un conjunto de medidas paliativas para abordar los riesgos de ciberseguridad detectados a escala nacional y de la Unión.
A más tardar el 1 de octubre de 2020, los Estados miembros, en cooperación con la Comisión, deberán evaluar los efectos de la Recomendación a fin de determinar si es necesario adoptar nuevas medidas. Esta evaluación debe tener en cuenta el resultado de la evaluación europea coordinada de riesgos y la eficacia de las medidas.