En nombre de la confianza. España se metió en las decisiones de inversión en infraestructura de las telecomunicaciones. Y lo hizo en nombre de la seguridad pública en el más amplio sentido que pueda tener. El pasado 30 de marzo, el gobierno emitió un decreto mediante el cual les exige a las operadoras de ese país que diversifiquen el universo de proveedores de redes 5G, y aquellas que ya comenzaron a desplegar sus redes deberán remitir en un plazo de seis meses un informe de análisis y riesgos de lo ya construido o por construir en los próximos dos años. ¿Tiro por elevación hacia Huawei? ¿La invasión de Rusia a Ucrania obligó a tomar medidas anticipatorias y drásticas por conflictos futuros que podrían producirse en el Viejo Continente y donde las redes podrían ser parte de eventuales batallas? Hay, sin dudas, en este decreto algo de trasfondo geopolítico actual y pasado que no se puede obviar.
La justificación de esta norma, explicada al inicio del real decreto, se basa en que 5G traerá servicios de valor agregado a la sociedad, como en medicina, industria y energía, y para desarrollar ese potencial “es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a fugas o manipulaciones de datos o comunicaciones”.
Se ampara en normas previas aprobadas por el gobierno español o a tratados a los que el país ha adherido en materia de seguridad y ciberseguridad, y establece que “la apertura de la red a multitud de usos y aplicaciones aumenta los puntos de ataque a la red, y la importancia del papel de los suministradores de su arquitectura y gestión aconseja tomar precauciones para evitar posibles incidentes atribuibles a su actuación”.
Como se dije en la jerga callejera, el gobierno español abre el paraguas ante la posibilidad de ataques informáticos masivos o a infraestructuras puntuales, y también a la eventual fuga de información que determinado equipamiento pudiera provocar. Pero apela a la necesidad de generar confianza para tomar el camino trazado. La actual coyuntura, donde los distintos países de Europa y sus organizaciones están siendo blanco de ataques informáticos en el marco de la invasión de Rusia a Ucrania, justifica la acción. Al puntualizar sobre redes 5G es inevitable no interpretarlo en el marco de la batalla geopolítica en torno a 5G. Que Ericsson y Nokia se hayan pronunciado sobre la norma publicada en España es una señal en esa dirección.
¿Pero qué dispuso el Gobierno Español en relación a 5G?
El 30 de marzo, el Gobierno de España publicó el Real Decreto-ley 7/2022 sobre “requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas y de quinta generación”, tal como lo expresa en el primer capítulo de la norma, con el objetivo de impulsar “una seguridad integral del ecosistema generado por la tecnología 5G”, como primera premisa. Pero también se busca reforzar la seguridad en la instalación y operación de redes 5G y en los servicios que se apoyen en ella, promover un mercado de proveedores de redes “suficientemente diversificado en aras de garantizar la seguridad basada en razones técnicas, estratégicas y operativas” y evitar “la presencia de suministradores con una calificación de alto riesgo o riesgo medio en determinados elementos de red o ámbitos”.
Luego, plantea la necesidad de reforzar la protección de la seguridad nacional y fortalecer a la industria a través de actividades de investigación y desarrollo (I+D+i) nacionales en ciberseguridad relacionadas con la tecnología 5G. Y, en este marco, incluye a cloud y a edge computing, además de las redes privadas empresariales que se habilitan a partir de la quinta generación móvil.
El real decreto alcanza tanto a operadoras de telecomunicaciones como proveedores 5G y a las empresas que tengan otorgados derechos de uso del dominio público radioeléctrico. Todos estos actores están obligados, desde su publicación, a realizar informes que, luego, deberán elevar al Ministerio de Asuntos Económicos y Transformación Digital, a cargo de su ejecución y cumplimiento.
¿Qué deberán informar? Deberán realizar un análisis de las vulnerabilidades, amenazas y riesgos como también una gestión integral de esos riesgos para eliminarlos, y entregarla cada vez que ese ministerio se los pida.
El real decreto es puntilloso sobre cada uno de los componentes de una red que deberán ser evaluados y además exige priorizar los riesgos en función de distintos parámetros que van desde la afectación de un elemento de la red pública 5G hasta la cantidad de usuarios afectados. Este análisis debe realizarse cada dos años y enviarse al ministerio.
Es en el Capítulo III sobre Gestión de Riesgos donde se aborda la cuestión de la diversificación del ecosistema de proveedores. En el artículo 12 inciso a) expresa que las operadoras de telecomunicaciones “deberán diseñar una estrategia de diversificación en la cadena de suministros de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red pública 5G, de forma que dichos equipos, sistemas o recursos sean proporcionados como mínimo por dos suministradores diferentes”. Las redes suelen construirse con dos proveedores como mínimo pero, acto seguido, señala que no podrán utilizarse elementos críticos de red “que hayan sido calificados de alto riesgo” en estaciones radioeléctricas que den cobertura a centrales nucleares, de defensa y de seguridad nacional o de servicios esenciales, es decir, de las infraestructuras críticas. A esto se suma que los elementos críticos de una red pública 5G deberán estar “dentro del territorio nacional”.
Más adelante, el texto -que puede leerse desde aquí– profundiza diversos aspectos, especifica las sanciones y, sobre el final, establece que las operadoras tienen seis meses a partir de ahora para remitir al ministerio su análisis de riesgos de lo ya desplegado y de lo que harán en los próximos dos años, como también su estrategia de diversificación. En paralelo, en tres meses, informará qué proveedores tienen la calificación de alto riesgo y, en relación a las ubicaciones críticas, en caso de detectar que hay equipamiento de esas características, las compañías no podrán seguir usándolo. Si tienen que cambiarlo, tendrán un plazo de cinco años para hacerlo, tiempo que se reduce a dos años si se trata de la red de acceso.
El remplazo de equipamiento es una medida que tomó Estados Unidos cuando decidió intervenir de manera directa en la construcción de las redes 5G al prohibir cualquier tipo de producto proveniente de China y de Huawei en particular. Se trata de un proceso millonario que parece no haber sido lo suficientemente bien calculado cuando se inició.
Nokia y Ericsson aplaudieron las medidas tomadas por España, según lo hicieron saber ambas compañías a la agencia Efe. La finlandesa aseguró que colaborará “en todo lo que sea necesario” para el “aumento del escrutinio” de las redes de telecomunicaciones 5G en ese país. Ericsson, en tanto, señaló que “aporta seguridad jurídica en un ámbito tan relevante y crítico para el desarrollo del país”.
Hay que recordar que, luego de que el Reino Unido excluyera en 2020 el uso de equipamiento de Huawei en sus redes, Suecia se convirtió en el segundo país europeo en seguir el mismo camino, razón por la que, en enero pasado, llevó ante el CIADI (Centro Internacional de Arreglos de Diferencias relativas a Inversiones) a ese gobierno por considerar que Huawei fue discriminada y de excluirla del lanzamiento de la 5G, lo que “ha perjudicado gravemente las inversiones de Huawei en Suecia, en violación de los compromisos internacionales de Suecia”.
En España, esta medida se interpretó como un tiro por elevación a Huawei. La compañía china se limitó a señalar que “la ciberseguridad es la máxima prioridad de Huawei. En las últimas 3 décadas, Huawei ha mantenido un historial probado de ciberseguridad en 170 países y regiones, incluyendo España. Con nuestra experiencia y know-how en tecnología Huawei está comprometido en ayudar a alcanzar los objetivos de la “Agenda España Digital 2025” ofreciendo servicios de red fiables y garantizando la seguridad de la red”.
Ya son tres los países europeos, más allá de Estados Unidos, interviniendo en los procesos de construcción de las redes de las operadoras de telecomunicaciones privadas. Y se hace en nombre de la defensa nacional, de la seguridad pública, de la confianza. ¿Es un signo de los tiempos este mayor intervencionismo de los estados en cuestiones tecnológicas? ¿O son acciones que, por el momento, responden a ciertas coyunturas que, encima, en 2022 se presentan más álgidas por la invasión de Rusia? Resulta tentador dar una respuesta concreta y contundente. Pero la cosa parece ser más compleja. Sí hay que continuar observando el proceso con máxima atención.
