La semana pasada AdaptiveMobile Security reveló los detalles de una falla de seguridad importante en la arquitectura de 5G relacionada con Network Slicing y en funciones de red virtualizadas. En aquella ocasión la reflexión o pregunta era la siguiente: ¿Está el sector de las telecomunicaciones preparado para asegurar sus redes más softwerizadas? En referencia a la redes móviles 5G y la eliminación de nodos de hardware que servían de corta fuegos para la seguridad de las redes 2G, 3G y 4G. Pero este formato de seguridad se desvanece cuando la red de los operadores se virtualiza, se distribuye en diferentes instancias de software y recibe la conexión de millones de dispositivos de todo tipo cuando IoT se masifique con la 5G.
Las redes 5G vienen a abrir nuevos negocios para los operadores, especialmente en el ámbito empresarial, pero su nueva arquitectura abre mayores punto de acceso a los ciberataques. La cloudificación de la red traerá muchos beneficios operacionales y de innovación para los operadores, pero también hereda los ataques cibernéticos que sufren muchas organizaciones por parte de organizaciones criminales con técnicas de ataque muy sofisticadas así como la de piratas menos organizados pero igual de oportunistas ante cualquier vulnerabilidad. En este caso, el problema radica en que los operadores no sólo serán guardianes de sus datos, sino que también del de muchos de sus clientes y sus procesos productivos. Solo imaginemos que una organización tome control de un Slice de la red 5G dedicado a un grupo de hospitales.
Este asunto es relevante cuando esta semana la consultora Canalys nos alerta de los peligros de la ciberseguridad para las empresas y los extrapolamos al sector de las telecomunicaciones. La crisis de violación de datos se intensificó el año pasado durante la pandemia, ya que se comprometieron más registros en solo 12 meses que en los 15 años anteriores combinados, alerta Canalys para cuantificar la magnitud exponencial de los ataques cibernéticos.Los ataques de ransomware no tenían escrúpulo alguno y en medio de la pandemia muchos se dedicaron a atacar específicamente a los hospitales que estaban luchando sin tregua contra la pandemia.
Parte del problema surgió porque las empresas que pudieron adaptarse a la nueva realidad de los confinamientos tuvieron que implementar medidas de continuidad comercial de forma acelerada en respuesta al COVID-19 o de lo contrario debían exponerse a cerrar sus negocios, explica la consultora. Como consecuencia de esta velocidad de actuación inesperada e imprevista, los protocolos de ciberseguridad establecidos por las empresas se pasaban por alto por las prisas, dejando a muchos expuestos a la explotación por parte de criminales cibernéticos de todo tipo.
En su nuevo informe sobre la ciberseguridad Canalys señala que la inversión en este tipo de seguridad superó a otros segmentos de la industria de TI en 2020, con un crecimiento del 10 por ciento para llegar a una inversión de 53.000 millones de dólares. Sin embargo, la continuidad del negocio y la productividad de la fuerza laboral prevalecieron sobre la seguridad durante la pandemia. Según estimaciones de Canalys, los servicios de infraestructura en la nube crecieron un 33 por ciento en 2020 para alcanzar los 142.000 millones de dólares, lo que representa un aumento de 45.000 millones de dólares en gasto anual con respecto a 2019.
Los servicios de software en la nube aumentaron más del 20 por ciento durante el mismo período. Los ingresos reportados de Zoom aumentaron más del 300 por cien, mientras que Microsoft Office 365 y Salesforce mantuvieron un fuerte crecimiento de dos dígitos. Los envíos de PC portátiles también tuvieron un año récord, con un aumento del 17 por ciento, y se pronostica que crecerán aún más en 2021.
El negocio de cámaras web de Logitech también alcanzó un nuevo récord de ventas, aumentando un 138 por ciento en el último año. Y el crecimiento de las ventas de routers Wi-Fi domésticos superó el 40 por ciento, ya que los trabajadores remotos buscaban mejorar su conectividad, mientras que las impresoras y la tinta doméstica se agotaban.
“La ciberseguridad debe estar al frente y al centro de los planes digitales, de lo contrario habrá una extinción masiva de organizaciones, lo que amenazará la recuperación económica posterior al COVID-19”, dice Matthew Ball, analista jefe de Canalys. “Un lapsus en el enfoque en la seguridad cibernética ya está teniendo grandes repercusiones, lo que resulta en la escalada de la actual crisis de violación de datos y la aceleración de los ataques de ransomware”.
Esta es la cruda realidad a la que se enfrentan las organizaciones en 2021. Para muchos, es demasiado tarde, concluye Ball.
Y con este panorama volvemos a preguntarnos ¿Está el sector de las telecomunicaciones preparado para asegurar sus redes más softwerizadas? Sabemos que se está trabajando en la seguridad de 5G a todos los niveles, público y privado, sino que además, este mercado representa una oportunidad de negocio muy importante teniendo en cuenta los antecedentes delineados por Canalys para los operadores y otros proveedores.
La naturaleza nativa de la nube de las redes 5G tendrá un impacto positivo y disruptivo en la industria de la ciberseguridad en los próximos años. Según ABI Research, la seguridad de la red 5G presenta una oportunidad de mercado de 9.000 millones de dólares para 2025. La introducción de infraestructuras nativas de la nube y virtualización de funciones de red, plataformas impulsadas por APIs y capacidades de aislamiento a través de contenedores y Network Slicing —recuerden la vulnerabilidad anunciada la semana pasada— brindan oportunidades significativas para que las ofertas de ciberseguridad de TI encuentren aplicaciones en 5G. Tanto el software como los servicios de seguridad serán demandados por las empresas que buscan aprovechar las aplicaciones confiables de massive machine-type-communications (mMTC) y ultra-reliable low-latency communication (URLLC) que vienen de la mano de la 5G.
“El gasto inicial en seguridad correrá a cargo de los operadores, ya que se centran en proteger su propia infraestructura y red móvil. A medida que avanzan los operadores, tienen la oportunidad de recuperar esa inversión y monetizarla a través de ofertas de seguridad empresarial. Lo más probable es que esto se realice en asociación con proveedores de equipos de red y proveedores de ciberseguridad. Aquí también hay un juego sustancial para los hyperescalers”, explica Michela Menting, directora de investigación de seguridad digital de ABI Research.
“Existe un gran potencial para explorar modelos de seguridad ofrecidos por OPEX a través de la nube una vez que se puedan cumplir los requisitos de rendimiento y latencia. Los operadores, especialmente los tier one, están interesados en atraer industrias sensibles a la seguridad a 5G y esto los está impulsando a integrar software y servicios de seguridad en sus redes 5G”, dice Menting.
En la actualidad, muchas soluciones tradicionales de ciberseguridad de TI no se adaptan a las redes core de los operadores, por lo que se requerirá un período de transformación. Habrá un esfuerzo continuo para que los operadores creen una cartera de seguridad para las empresas, así como para que los proveedores de soluciones proporcionen ofertas carrier grade.
Actualmente, los dispositivos de seguridad de red siguen siendo más fáciles de implementar, en particular por parte de los operadores que continúan consumiendo hardware para el rendimiento y la escala, y en particular para las redes híbridas 4G y 5G. Con el tiempo, las ofertas de software y servicios de seguridad para las empresas aumentarán una vez que 5G Standalone (SA) se convierta en la tendencia principal en las redes, algo que podría suceder pasado el 2023, dice ABI en su comunicado.
Lo que está claro es que habrá una oportunidad para que los nuevos participantes penetren en el mercado de seguridad de red a medida que se implemente 5G, especialmente los proveedores de ciberseguridad a medida que aumentan las demandas de dispositivos de seguridad de red. “Pero cada vez más, los hyperescalers y los nuevos proveedores de software y nube verán oportunidades, especialmente en el mercado de redes 5G privadas”, añade Menting.
Las redes 5G aún deberán recorrer camino para ser seguras. A pesar de los retos de seguridad, ABI Research ve el lado positivo y la oportunidad que puede emerger para los operadores si este asunto se convierte en un tema central de sus operaciones y no un asunto más al que reaccionar cuando suceda alguna desgracias cibernética. La ciberseguridad sólo puede ser dos cosas: o un negocio o gravísimo problema.
