La ciberseguridad representa «un reto importante» para el concepto de comunicaciones móviles estándar,  Open RAN (Open Radio Access Network), creado por la agencia de ciberseguridad Enisa. Las especificaciones técnicas de Open RAN aún no están maduras en este ámbito y no están diseñadas para ser seguras desde el principio. El control sobre ella también es insuficiente.

El objetivo que busca alcanzar es más confianza de los proveedores habituales, ya que, con el estándar abierto, muchos operadores de redes móviles quieren independizarse de las soluciones propietarias de proveedores tradicionales como Ericsson, Huawei o Nokia, ahorrar costos y obtener un mayor y más rápido control sobre el desarrollo de las funciones. Deutsche Telekom informó recientemente del gran potencial de la tecnología a partir de una prueba realizada en Neubrandenburg.

Lo que el informe publicado el miércoles también afirma: Específicamente a corto plazo, al introducir un nuevo enfoque de red, nuevas interfaces y nuevos tipos de componentes de radio, posiblemente de múltiples proveedores, Open RAN «exacerbaría una serie de riesgos de seguridad de las redes 5G y aumentaría la superficie de ataque en la parte de acceso de radio de la red». El alcance de estos riesgos «variará en función del impacto de Open RAN en el mercado y de su grado de adopción por parte de los operadores de redes móviles».

Principales peligros:

Entre las principales amenazas que el cambio de norma podría aumentar, los autores señalan en particular, un mayor número de puntos de entrada para los actores maliciosos. Esto podría dar lugar a vulnerabilidades o fallos, lo que también incluye un «flujo indeseable de datos e información hacia nuevas aplicaciones de terceros».

Los expertos en seguridad de los países de la UE también ven «un mayor riesgo de desconfiguración de las redes». Además, podría haber nuevas o mayores dependencias de los proveedores de la nube, ya que la virtualización y el uso del almacenamiento en las nubes informáticas en el sector de las telecomunicaciones están siendo promovidos por las implementaciones de Open RAN. Es probable que todas estas amenazas se extiendan a otras funciones de la red debido al típico uso compartido de los recursos (uso compartido de la infraestructura).

Además, la RAN abierta podría perturbar considerablemente las capacidades de la UE en el mercado de la cobertura 5G debido a la creciente dinámica de los nuevos participantes, incluidas las empresas de terceros países. A mediano plazo, esto amenaza con debilitar la autonomía estratégica y la seguridad de la UE.

También oportunidades para la ciberseguridad.

Sin embargo, los autores también describen algunas oportunidades potenciales que la tecnología abierta podría aportar a la ciberseguridad. Con una mayor interoperabilidad entre los componentes de la RAN de diferentes proveedores, es concebible, por ejemplo, lograr una mayor diversificación de proveedores dentro de las redes de una misma zona geográfica. Esto podría cumplir un objetivo de la UE para la 5G, según el cual cada operador debería tener una estrategia adecuada de neutralidad de los fabricantes en aras de la independencia de los proveedores de equipos individuales.

Según el informe, Open RAN también debería ayudar a aumentar la visibilidad de la red mediante el uso de interfaces y estándares abiertos. La tecnología también podría ayudar a reducir los errores humanos gracias a una mayor automatización y a aumentar la flexibilidad mediante el uso de soluciones de virtualización y basadas en la nube.

Lo que se recomienda

Para aumentar el potencial y reducir los riesgos, los autores recomiendan una serie de medidas, algunas de ellas de gran alcance. Por ejemplo, los reguladores deberían hacer uso de sus competencias para revisar y, en caso necesario, restringir o incluso prohibir los planes sobredimensionados de los operadores móviles para introducir la Open RAN. También es concebible imponerles requisitos o condiciones para el funcionamiento de los equipos de red Open RAN.

Según el informe, deben reforzarse los controles técnicos, como la autenticación y la autorización en la red. El concepto de control debe adaptarse a un entorno modular «en el que se supervise cada componente». Los perfiles de riesgo de los proveedores de Open RAN y de los proveedores de servicios externos, como los proveedores de servicios en la nube y los integradores de sistemas, deben evaluarse de forma coherente.

Habría que subsanar las deficiencias de seguridad existentes. Los dispositivos de la RAN abierta también tendrían que incluirse lo antes posible en el futuro sistema de certificación de ciberseguridad de la 5G, que se está desarrollando actualmente.

«Nuestra prioridad y responsabilidades compartidas son garantizar el despliegue oportuno de las redes 5G en Europa, manteniendo al mismo tiempo su seguridad», ha subrayado Margrethe Vestager, Vicepresidenta de la Comisión responsable de asuntos digitales. Por ello, todos los implicados deben dedicar el tiempo y la atención suficientes a superar los retos identificados «para poder cumplir las expectativas asociadas a la tecnología Open RAN». La Oficina Federal de Seguridad de la Información (BSI) había detectado previamente «riesgos de seguridad medios y altos» en este ámbito.

Deja un comentario