En un momento en el que las redes 5G se encuentran en plena expansión, permitiendo la aparición de nuevos servicios y funcionalidades cada vez más avanzadas, la seguridad de las mismas toma especial relevancia. En este contexto, es imprescindible la búsqueda de un tratamiento integral de la seguridad de las redes y servicios 5G, que garantice un marco de gestión eficiente y compatible con el desarrollo y sostenibilidad de dichas infraestructuras en España y en Europa.
Precisamente, la reciente aprobación del Esquema Nacional de Seguridad 5G (ENS5G) por RD 443/2024, de 30 de abril, es el último hito normativo en esta materia en España, y completa el marco regulatorio aplicable sobre el conjunto de agentes involucrados en el despliegue y operación de esta tecnología a nivel nacional.
Un contexto de creciente importancia de la seguridad de las redes 5G
El despliegue de las nuevas redes móviles 5G supone toda una transformación del sector de las telecomunicaciones al implicar mayores capacidades y nuevas funcionalidades de red. Ello es posible gracias a la inversión conjunta en una serie de tecnologías complementarias, como son el Network Slicing o la virtualización de la red, que están permitiendo la aparición de nuevos servicios de gran valor añadido para la sociedad y la economía en ámbitos como la medicina, el transporte, la energía y la logística, entre otros. Por ello, desde los distintos estamentos públicos, tanto nacionales como europeos, recientemente se está poniendo especial foco en promover el rápido despliegue de estas redes de quinta generación.
Unido a este despliegue y a la aparición de los nuevos servicios ligados a las redes 5G, aparecen nuevos riesgos y amenazas que podrían tener implicaciones de gran calado y que han de ser abordadas de forma holística, por la participación en la cadena de valor de una amplia amalgama de agentes. Así, el ENS5G establece y detalla, en esencia, una serie de medidas encaminadas a minimizar el impacto de estos posibles riesgos, amenazas o vulnerabilidades, otorgando así una elevada robustez a nuestras redes y servicios 5G, permitiendo a los ciudadanos confiar en los servicios de los que disfrutan en la UE.
En definitiva, el ENS5G publicado en abril 2024 desarrolla el marco de seguridad aplicable a las redes y servicios 5G, recogido en el Real Decreto-ley 7/2022, de 29 de marzo, y que se ha visto modificado recientemente por la disposición final quinta del Real Decreto-ley 6/2023, de 19 de diciembre.
El concepto de Seguridad Integral
La seguridad de una red o servicio, y el 5G no es ninguna excepción, debe abordarse desde múltiples planos, extremo a extremo, y tomando debidamente en consideración la responsabilidad compartida de todos los agentes que intervienen en la cadena de valor.
En este sentido, es indispensable que todos los elementos presentes en el ecosistema 5G, humanos, materiales, técnicos, jurídicos y organizativos, sean tenidos en cuenta a la hora de definir y poner en marcha los protocolos y procesos de seguridad destinados a dotar de robustez a la red y generar confianza en los servicios de los que disfrutan los ciudadanos. Además, cada agente dentro de la cadena de valor del ecosistema 5G ha de tomar las medidas que permitan la operación segura de redes y servicios 5G.
Así, los suministradores 5G deberán garantizar la seguridad de los equipos y servicios auxiliares y cumplir una serie de estándares técnicos basadas en normativas ISO y certificaciones, así como en auditorías y medidas de transparencia.
Este concepto, el de la seguridad integral, es de suma importancia además y supone uno de los retos más relevantes a los que pretende dar respuesta la aprobación del ENS5G, al tratar de minimizar los riesgos independientemente de su origen o agente afectado.
La importancia de mitigar los posibles riesgos de una red 5G
El ENS5G, siguiendo la norma que éste desarrolla, adopta un enfoque basado en la criticidad de cada elemento de una red 5G y recoge los riesgos, vulnerabilidades y amenazas a los que puede verse sometido cada uno de estos elementos, con una gestión de la seguridad basada en riesgos.
Para mitigar, en la medida de lo posible, estos riesgos y minimizar la afectación de un hipotético incidente, el ENSG5G obliga a los operadores de redes 5G, y a los suministradores de los equipos que intervengan estas redes, a realizar un análisis de riesgos, como base para abordar una gestión integral de su seguridad, el cual ha de ser debidamente actualizado para adaptarse a la evolución tecnológica y el estado del arte sobre la seguridad.
Se definen como elementos críticos de red, que deberán ubicarse dentro del territorio nacional (con ciertas salvedades), aquellos relativos a las funciones del núcleo de la red, así como los sistemas de control y gestión y los servicios de apoyo y la red de acceso en aquellas zonas geográficas y ubicaciones que se determinen.
El ENS5G propone además medidas de seguridad para solventar, disminuir o paliar los riesgos identificados. A mayor criticidad del elemento o mayor impacto de este en el servicio y/o en los clientes, mayores serán las medidas de seguridad que deberán ser tomadas. Los operadores deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos en la instalación, despliegue o explotación, incluido disponer de certificados adecuados, así como posibilidad de someterse a auditorías. Los operadores y suministradores deben implementar las medidas de prevención, detección, respuesta y conservación de la información para cada segmento de red, aspecto este que se irá desarrollando en las correspondientes órdenes técnicas y que serán auditadas cada dos años. Telefónica se encuentra plenamente alineada con el ENS5G tras muchos años de implementación de una política de gestión de la seguridad desde el diseño.
Medidas específicas para la seguridad de las redes 5G en España
Además de la obligatoriedad cada 2 años, o cuando sea requerido, de realizar un análisis de riesgos y de la implementación de procedimientos para mitigar estos riesgos, el ENS5G establece una serie de medidas específicas orientadas a incrementar el control sobre la cadena de suministro de equipamiento 5G si fuera necesario.
Estas medidas son las siguientes:
- Establecimiento de un mecanismo que permite al Consejo de Ministros declarar que determinados suministradores son de alto riesgo, en base tanto al análisis de las garantías técnicas de sus equipos, como a su posible exposición a injerencias extranjeras. Se tendrán en cuenta, entre otras cosas, vínculos del suministrador con Gobiernos de terceros países, composición de capital social, poder de un tercer Estado para ejercer presión, legislación y/o política de ciberdefensa de ese tercer estado, acuerdos de cooperación en materia de seguridad, o la adecuación a la normativa de protección de datos.
- Esta declaración, de producirse, tendrá las siguientes implicaciones:
- Los suministradores de alto riesgo deberán remitir al Ministerio información relativa a la seguridad de sus equipos.
- Los operadores de redes 5G no podrían tener equipamiento de suministradores declarados de alto riesgo en los elementos críticos de la red.
- Además, el Consejo de Seguridad Nacional podrá determinar ubicaciones, áreas y centros de especial importancia para la seguridad nacional, como pueden ser centrales nucleares, centros vinculados a la Defensa Nacional y otras ubicaciones estratégicas. En las torres que dan cobertura 5G a estas ubicaciones, no se podrán instalar equipos de suministradores calificados de alto riesgo y los operadores deberán seguir un procedimiento administrativo específico para llevar a cabo actuaciones de instalación o mantenimiento.
- Como última medida específica, el ENS5G obliga a los operadores de redes 5G, que operen elementos críticos de red a diseñar una estrategia de diversificación de suministradores que permita asegurar en la medida de lo posible la cadena de suministro de acuerdo a las obligaciones identificadas y que también deberá ser actualizada convenientemente.
Un Centro de Operaciones 5G, pionero en Europa
Por último y como principal novedad, el ENS5G incluye la creación de un Centro de Operaciones 5G de referencia, financiado con fondos del Plan de Transformación Recuperación y Resiliencia, entre otras, con las siguientes tareas:
- Adquirir capacidades en materia de ciberseguridad 5G o supervisar y garantizar que se implementan las medidas de seguridad recogidas en el Esquema de Seguridad
- Determinar la criticidad de los elementos de la infraestructura 5G
- Desarrollar propuestas de mejora para incrementar la monitorización y defensa en redes 5G
- Desarrollar capacidades de I+D en términos de seguridad
Este centro de operaciones facilitará, en la medida de lo posible, una adecuada capacidad de respuesta ante incidentes de ciberseguridad 5G y dará soporte y apoyo a los diferentes agentes afectados. Los agentes obligados por esta norma podrán asimismo constituir Centros de Operaciones de Seguridad 5G.
El ENS5G completa el marco normativo de seguridad de redes y servicios 5G en España. Aborda la seguridad desde una perspectiva integral y pretende dotar de seguridad jurídica a los diferentes agentes de la cadena de valor, incluidos operadores y suministradores.
Por novedoso que parezca, el ENS5G no deja de plasmar a nivel regulatorio los principales principios y procedimientos de gestión de la seguridad sobre los que los operadores como Telefónica, como responsables del despliegue y operación de sus redes y servicios, vienen ya trabajando para minimizar cualquier riesgo e impacto de seguridad de cara a sus clientes gracias a su política de seguridad integral desde el diseño.
La cooperación, la coordinación y simplificación en la comunicación de incidentes y protocolos para tratarlos, por parte de los agentes involucrados en la cadena de valor y las distintas autoridades competentes, serán esenciales para contar con la mayor seguridad posible.