jueves, 10 de octubre de 2019

La ciberseguridad en redes 5G

Fuente de la imagen: mvc archivo propio
Si eres follower de este sitio sabes que en más de una ocasión he tratado la tecnología 5G (M. Velasco)[1]. Pues bien, parte de la tarde del miércoles la pasé hojeando el informe sobre la evaluación coordinada de riesgos de la Unión Europea (UE) sobre ciberseguridad en redes de quinta generación (5G), que recientemente ha publicado la Comisión Europea (CE) y la Agencia Europea para la Ciberseguridad (AEC)[2]. Este paso es parte de la implementación de la Recomendación de la Comisión Europea adoptada en marzo de 2019 para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE, que ya te adelanté en “Seguridad cibernética y amenazas informáticas” (M. Velasco, 2019)[3]. Coincido con la CE que las redes 5G son la columna vertebral futura de las economías europeas, sociedades cada vez más digitalizadas. Miles de millones de objetos y sistemas conectados están relacionados, incluso en sectores críticos como energía, transporte, banca y salud, así como sistemas de control industrial que transportan información sensible y sistemas de seguridad de apoyo. Por lo tanto, garantizar la seguridad y la resistencia de las redes 5G es esencial. El informe se basa en los resultados de las evaluaciones nacionales de riesgos de ciberseguridad de todos los Estados miembros de la UE. Identifica las principales amenazas y actores de amenazas, los activos más sensibles, las principales vulnerabilidades[4] y una serie de riesgos estratégicos. Esta evaluación proporciona la base para identificar medidas de mitigación que pueden aplicarse a nivel nacional y europeo. 

El informe identifica una serie de desafíos de seguridad importantes, que probablemente aparezcan o se vuelvan más prominentes en las redes 5G, en comparación con la situación en las redes existentes. Estos desafíos de seguridad están principalmente relacionados con innovaciones clave en la tecnología 5G[5], en particular la parte importante del software y la amplia gama de servicios y aplicaciones habilitados por 5G; el papel de los proveedores en la construcción y operación de redes 5G y el grado de dependencia de proveedores individuales. Se espera que el despliegue de las redes 5G tenga una mayor exposición a los ataques y más posibles puntos de entrada para los atacantes, debido a que estas redes están cada vez más basadas en software, los riesgos relacionados con fallas de seguridad importantes, como los derivados de procesos de desarrollo de software deficientes en los proveedores están ganando importancia[7]. Igualmente, debido a las nuevas características de la arquitectura de red 5G y las nuevas funcionalidades, ciertos equipos o funciones de red se están volviendo más sensibles[8]. También, una mayor exposición a los riesgos relacionados con la dependencia de los operadores de redes móviles en los proveedores, que conducirá a un mayor número de rutas de ataques que podrían ser explotadas por los actores de amenazas y aumentará la gravedad potencial del impacto de tales ataques. Entre los diversos actores potenciales, los Estados no pertenecientes a la UE o respaldados por el Estado se consideran los más serios y los más propensos a atacar las redes 5G. 

En ese contexto de mayor exposición a los ataques facilitados por los proveedores, el perfil de riesgo de los proveedores individuales será particularmente importante, incluida la probabilidad de que el proveedor esté sujeto a la interferencia de un país no perteneciente a la UE. Asimismo, la AEC entiende que se incrementarán los riesgos de las principales dependencias de los proveedores[4], agravando el impacto potencial de las debilidades o vulnerabilidades y de su posible explotación por parte de los actores de amenazas, en particular cuando la dependencia concierne a un proveedor que presenta un alto grado de riesgo. Las amenazas a la disponibilidad e integridad de las redes se convertirán en importantes preocupaciones de seguridad: además de las amenazas de confidencialidad y privacidad, con las redes 5G que se convertirán en la columna vertebral de muchas aplicaciones críticas de TI, la integridad y disponibilidad de esas redes se convertirán en importantes preocupaciones de seguridad nacional y un gran desafío de seguridad desde una perspectiva de la UE. En opinión de la CE, estos desafíos crean un nuevo paradigma de seguridad, por lo que es necesario reevaluar la política actual y el marco de seguridad aplicable al sector y su ecosistema y esencial para que los Estados miembros tomen las medidas de mitigación necesarias. Para complementar el informe de los Estados miembros, la Agencia Europea para la Seguridad Cibernética está finalizando un mapeo específico del paisaje de amenazas relacionado con las redes 5G, que considera con más detalle ciertos aspectos técnicos cubiertos en el informe[9]. Fuente de la información: CE y AEC. 
____________________________________
[1] Textos como “Medidas para el desarrollo de tecnología 5G”, “Transformación digital de la economía” o el reciente “Ayudas para tecnologías habilitadoras digitales” son prueba de ello. En cuanto a la ciberseguridad, clickea AQUÍ si quieres ver algunos títulos. Sitios visitados el 10/10/2019.
[2] Si quieres descargar el documento, clickea AQUÍ
[3] Velasco-Carretero, Manuel (2019). Seguridad cibernética y amenazas informáticas. Sitio Protección de Datos. Visitado el 10/10/2019.
[4] Incluidas las técnicas y otros tipos de vulnerabilidades.
[5] Que se supone traerá una serie de mejoras de seguridad específicas. 
[6] También podrían facilitar a los actores de amenazas la inserción maliciosa de puertas traseras en los productos y dificultar su detección. 
[7] Como las estaciones base o las funciones clave de gestión técnica de las redes. 
[8] Una dependencia importante de un solo proveedor aumenta la exposición a una posible interrupción del suministro, como resultado, por ejemplo, de una falla comercial, y sus consecuencias. 
[9] Para el 31 de diciembre de 2019, el Grupo de Cooperación debería acordar un paquete de medidas de mitigación para abordar los riesgos de ciberseguridad identificados a nivel nacional y de la Unión. A más tardar el 1 de octubre de 2020, los Estados miembros, en cooperación con la Comisión, deben evaluar los efectos de la Recomendación para determinar si es necesario tomar medidas adicionales. Esta evaluación debería tener en cuenta el resultado de la evaluación europea coordinada del riesgo y la eficacia de las medidas.