Dos docenas de los 28 estados miembros de la UE han contribuído, desde el pasado marzo, en un documento común titulado ´EU coordinated risk assessment of 5G cybersecurity`, que acaba de publicar la Comisión Europea. A nadie se le escapa que el propósito no es otro que dar una respuesta colectiva a las presiones transatlánticas que tratan de forzar a los países europeos a seguir la línea de la  administración Trump y abstenerse de dar entrada a proveedores chinos en el despliegue de sus redes 5G. La amenaza, explicita en algún caso, de restringir la entrega de información de inteligencia, proveniente de Washington, no se puede echar en saco roto.

Si el objetivo era despejar el balón para evitar que esa jugada se consume,  la Comisión lo ha conseguido sólo en parte. Porque el documento es un portento de malabares: “[algunos países miembros] han identificado que ciertos países no pertenecientes a la UE representan una ciberamenaza a sus intereses nacionales, basada en un modus operandi de ataques previos, así como en la existencia de programas de agresión cibernética por parte de terceros estados”.

Otro apartado del informe distingue entre suministradores cuya sede se encuentra en territorio europeo (Ericsson y Nokia) y otros externos a la UE. Entre los ´otros` menciona cuatro: Huawei, ZTE, Samsung y Cisco, para apostillar inmediatamente que “algunos modelos de gobernanza corporativa presentan notables diferencias en materia de transparencia y estructura de propiedad”, es cristalino que se refiere a Huawei. Pero esta no se inmuta, emite un comunicado en el que valora positivamente “el compromiso de la UE de adoptar un enfoque basado en la evidencia, analizando a fondo los riesgos en lugar de enfocarse en países o actores concretos”.

La premisa del documento es sencilla: “las redes 5G podrían plantear riesgos de ciberseguridad mayores que otras tecnologías anteriores, debido a la preeminencia del software en las funciones de control y en los componentes del extremo de las redes [edge networking] o a deficiencias en los procesos de desarrollo dentro de los suministradores [y por tanto] a la facilidad con la que actores maliciosos podrían insertar puertas traseras de casi imposible detección”.

En un capítulo didáctico, se señala que las redes 5G harán uso intensivo de nuevas funciones que a su vez plantean nuevos problemas de seguridad, señala el texto comunitario. Una es el movimiento hacia el software y la virtualización (SDN y NFV), un cambio drástico en la arquitectura de red. El segundo es la posibilidad de troceado de las redes (network slicing) con un alto grado de separación entre las capas de servicios sobre un sustrato físico común. Y la tercera, que se sugiere como la más problemática, es la descentralización de recursos a servicios más próximos al usuario final (edge computing).

En la práctica, los riesgos no se limitarían al puñado de grandes suministradores citados sino que se multiplicará necesariamente “por la participación de una vasta cantidad de subcontratistas cuya tarea es la prestación de servicios como gestión y mantenimiento de redes y centros de datos, estimulados por dos características nuevas de las redes: se basan en software y sus funciones tienden a la virtualización”.

“Las amenazas originadas por estados y entidades respaldadas por estos son percibidas como las de mayor relevancia y realmente son las más serias”, apunta el informe con no disimulada intención. Pero también señala que otros actores, con menores recursos, destacan por su fuerte motivación para atacar una red 5G: la búsqueda de ventajas tecnológicas o el ciberterrorismo. Sobre esta base se incluye un gráfico de araña que representa la percepción media de los riesgos que plantea cada grupo de actores potenciales.

Como antídoto a este catálogo de peligros tangibles, la CE invita a prestar ´más consideración` (sic) al desarrollo de la capacidad industrial europea de desarrollo de software, fabricación de equipos, laboratorios de testing, evaluación de conformidad, etc”. Nadie sensato se opondría a tan noble designio, aunque podría aducir que dos de los cinco grandes proveedores de redes son europeos (Ericsson y Nokia). Aunque cabe relativizar: en Nokia no acaba de cuajar el modo de ser competitiva, mientras que Ericsson no pasa por su mejor momento financiero para apuntalar la relación comercial con los operadores. Ya se sabe a quién favorece esa debilidad europea.

¿Y ahora qué? ENISA, la agencia europea de ciberseguridad, prepara un mapa de las amenazas potenciales contra las redes 5G, cuyo resultado sería un conjunto de medidas con el fin de identificar y mitigar los riesgos específicos que corre cada país miembro. Debería estar terminado antes del 31 de diciembre de este año para ser revisado anualmente. En octubre de 2020, cada uno de los 28 (o 27 si se materializa el Brexit) presentará una evaluación de su propio cumplimiento de las recomendaciones para, con la recopilación, trazar un plan de acción. El sentido de urgencia no es el principal mérito del documento. Veremos.