Las noticias sobre las amenazas y las vulnerabilidades informáticas son cotidianas, tanto como los esfuerzos por impedirlas. En ese círculo, a veces vicioso y muchas otras virtuoso, la ciberseguridad de las redes propicia todo tipo de debates. Por estas horas, la Unión Europea (UE) publicó un informe y una “caja de herramientas” a modo de propuestas para propiciar la seguridad en 5G, sobre el que la consultora que lidera John Strand analizó sin esquivar el debate.
“Nuestra prioridad y responsabilidad común es garantizar el despliegue oportuno de las redes 5G en Europa, al mismo tiempo que garantizamos que sean seguras. Las arquitecturas RAN abiertas crean nuevas oportunidades en el mercado, pero este informe muestra que también plantean importantes desafíos de seguridad, especialmente a corto plazo. Será importante que todos los participantes dediquen suficiente tiempo y atención para mitigar tales desafíos, de modo que las promesas de Open RAN puedan cumplirse”, dijo en relación al informe Margrethe Vestager, vicepresidenta Ejecutiva de una Europa Adaptada a la Era Digital.
“Open RAN podría brindar oportunidades potenciales de seguridad, siempre que se cumplan ciertas condiciones”, dijo la UE en su informe y advierte que se trata de un concepto que “aún carece de madurez y la ciberseguridad sigue siendo un desafío importante, especialmente a corto plazo, al aumentar la complejidad de las redes, Open RAN exacerbaría una serie de riesgos de seguridad. Esos riesgos incluyen una mayor superficie de ataque y más puntos de entrada para actores malintencionados, un mayor riesgo de configuración incorrecta de las redes y posibles impactos en otras funciones de la red debido al uso compartido de recursos”.
En ese sentido, Strand advierte que “el informe no es un documento de posición que argumente a favor o en contra de una política. Más bien, es un enfoque práctico y técnico para garantizar que Open RAN se alinee con la caja de herramientas 5G 3GPP de la UE”, y lo considera “significativo ya que representa quizás la única evaluación oficial del gobierno de Open RAN. Si bien los gobiernos de Estados Unidos, Reino Unido, India y Japón promueven Open RAN, aún no han publicado ningún estudio de seguridad oficial autorizado sobre la tecnología”.
“Open RAN puede resolver algunos desafíos de diversidad estructural, pero crea otros nuevos”, dice el consultor y advierte que la dependencia cambia de una parte de la cadena de valor a otra, por ejemplo, de los proveedores de RAN existentes a los proveedores de la nube y advierte que “este conjunto de interdependencias no se traduce necesariamente en la ´diversidad de proveedores´ deseada y, como tal, el informe exige un enfoque más amplio más allá de la cadena de valor 5G.”
Se trata de un informe publicado por la UE y desarrollado por el Grupo de Cooperación de Redes y Sistemas de Información (NIS), al que integran autoridades de seguridad de los 27 estados miembros de la UE y de la Agencia de Ciberseguridad del bloque (ENISA); y que evalúa el impacto de Open RAN en los riesgos, las nuevas amenazas y las oportunidades de seguridad.
A la hora de señalar nuevos riesgos de seguridad, el informe recomienda avanzar con “un enfoque cauteloso” en caso de encaminarse hacia Open RAN: “Cualquier transición y coexistencia con tecnologías confiables existentes debe realizarse permitiendo suficiente tiempo y recursos para evaluar los riesgos por adelantado, implementar mitigaciones apropiadas y definir claramente las responsabilidades en caso de falla o incidente”.
Entre otras medidas, el informe advierte que las vulnerabilidades se expanden con esta tecnología gracias a la multiplicación de proveedores y componentes que “al abrir ciertas interfaces, Open RAN puede dar acceso a flujos de información a nuevas aplicaciones de terceros”.
“El informe también observa deficiencias en el proceso de desarrollo de especificaciones técnicas de O-RAN. Sugiere que la seguridad no ha figurado a la vanguardia del proceso de desarrollo de especificaciones técnicas de O-RAN Alliance y que las especificaciones de O-RAN que aún están madurando podrían conducir a productos inseguros”, dice y advierte que los lineamientos estrictos “pueden obstaculizar la transferencia de información y conocimientos entre adoptantes y no adoptantes, lo que dificulta las discusiones fuera de O-RAN Alliance”.
Pero no es todo, el consultor también subrayó la advertencia que hace la UE al señalar una posible nueva dependencia de los proveedores de servicios y/o de infraestructura en la nube. Por ejemplo, a medida que crecen la virtualización y los servicios cloud, existe el riesgo de que los operadores de redes móviles se vuelvan dependientes de una pequeña cantidad de proveedores de infraestructura/servicios en la nube, lo que podría conducir al mismo comportamiento que se pretende prevenir: depender de un pequeño grupo de empresas. Además, las redes que dependen del mismo proveedor de nube podrían exacerbar las vulnerabilidades.
Tanto el informe -disponible aquí– y la caja de herramientas -disponible aquí-, ambos de la UE, y el análisis de Strand –aquí– aportan masa crítica en un momento bisagra.
