Open RAN tiene a promotores y detractores. Los promotores se encuentran entre quienes buscan la innovación a través de la ampliación del ecosistema de proveedores como forma de dejar de depender de las tradicionales compañías de la industria. Los detractores se apoyan en la desconfianza que esta tecnología genera en términos, principalmente, de seguridad.
Se trata de una discusión tecnológica, sí. Pero donde también se cuelan cuestiones políticas. No obstante, quienes desconfían de Open RAN buscan alejarse de esa discusión para concentrarse en lo específicamente técnico, tal como lo plantean desde la consultora Strand Consult que no tiene una posición muy a favor de la tecnología proveniente de China, particularmente de Huawei, y que brega por la transparencia de las asociaciones que se ponen a trabajar en la difusión de las propuestas tecnológicas. De hecho, en informes previos, Strand Consulting se ha dedicado a derribar otras promesas de esta tecnología, como la que asegura que permitirá reducir costos.
Bajo el nombre “Open RAN y seguridad: una revisión de la literatura”, la consultora se propuso revisar los artículos académicos publicados por ingenieros alemanes y taiwaneses, además de lo realizado por las autoridades europeas y lo difundido por asociaciones comerciales que giran en torno a esta tecnología. Tras encarar esa lectura exhaustiva elaboró un informe compuesto por 10 puntos en el que aborda Open RAN, principalmente desde el punto de vista de la seguridad.
El primer punto que trata es el referido a los estándares 5G elaborado por el 3GPP donde se incluyen las mayores innovaciones en términos de seguridad tales como la detección y mitigación de ataques de denegación de servicio (DdoS, por su sigla en inglés), la encriptación robustecida, la mejora de los protocolos de seguridad para roaming, la seguridad en cloud y network slicling entre otros. Y entonces, Strand se pregunta: ¿Open RAN incluye estos elementos y, si lo hace, en qué medida?
Y responde que Open RAN no ofrece ninguna característica de seguridad “nueva neta”, es decir, no supera los términos de seguridad establecidos en 5G, como forma de enumerar todos los inconvenientes que encuentra en esta tecnología, sin obviar, por supuesto, el corazón de Open RAN, es decir, su característica de código abierto y afirma que sea Open RAN o sea RAN clásico, esto no hace que la red sea necesariamente más segura.
Por el contrario, asegura que “Open RAN presenta “importantes riesgos nuevos debido a la introducción de múltiples proveedores, componentes e interfaces, cada uno con diferentes grados de seguridad, calidad y desarrollo de productos”. Aunque admite que esta tecnología permitiría reducir la dependencia de algunos proveedores – uno de los fundamentos de quienes promueven Open RAN – eso también tiene un costo y un nuevo conjunto de riesgos, entre ellos, lo que en la jerga callejera se conoce como “cambiar figuritas y nada más”, es decir, postula que se cambiaría la confianza en los proveedores de equipos por la confianza en los proveedores de servicios en la nube.
¿Eliminar a la competencia china y apostar por los proveedores de servicios cloud, como Amazon, Google y Microsoft, cada vez más cercanos a la industria de las telecomunicaciones garantiza mejores niveles de seguridad y de competencia, y menores riesgos? O de nuevo ¿solo se están cambiando figuritas? En este terreno no ahonda pues su objetivo es cuestionar a Open RAN. Sigamos entonces con sus argumentos.
Plantea que, para avanzar con la adopción de una tecnología, es necesario contar con un marco de referencia, tal como está sucediendo con el Programa Europeo de Evaluación de Automóviles Nuevos (Euro NCAP), una ONG que otorga de cero a cinco estrellas a los automóviles conectados. Es decir, Strand quiere que a Open RAN se lo califique con estrellitas, como si fuera un hotel, aunque al mismo tiempo admite que todavía no hay suficientes implementaciones como para tener un score más o menos amplio.
Apunta que solo la Unión Europea publicó un documento sobre la seguridad con los 27 estados miembros y la agencia de Seguridad Cibernética donde, a su juicio, los riesgos que allí se enumeran tienen que ver con introducción de nuevos proveedores, interfaces y componentes además de la pérdida del control de los operadores de red y la falta de madurez de las especificaciones técnicas. Advierte que ni Estados Unidos, ni Japón, ni el Reino Unido y mucho menos la India se han referido a Open RAN.
Lo que Strand pasa por alto es que un grupo de empresas japonesas se han convertido en los casos más emblemáticos de Open RAN en el mundo, comenzando por Rakuten, y siguiendo por KDDI y Fujitsu, sin olvidar que el gobierno de este país selló un acuerdo con el Reino Unido para compartir trabajos de I+D que ambos realicen en la materia. Se trata de convenios que se sellaron hace menos de un año, por lo que podría aventurarse que necesitan un poco más de tiempo para que dé sus frutos. O, al menos, los frutos que le gustan a la consultora como para bajar su tono crítico.
Strand asegura que su informe incluye una “discusión extensa” sobre la seguridad técnica de la tecnología producida por empresas chinas en el que se cubren cuestiones vinculadas con hardware, software y componentes maliciosos, además del robo y la filtración de datos y prácticas comerciales ilegales y poco éticas.
“Esto es importante porque muchas empresas chinas están involucradas en O-RAN Alliance, especialmente el fundador China Mobile, que tiene un asiento en cada subcomité. Más de una docena de miembros de la Alianza O-RAN aparecen en la lista de entidades del Departamento de Comercio de Estados Unidos debido a preocupaciones de seguridad nacional”, agrega el informe.
En este punto, Strand agrega que no está claro cómo superar los riesgos en la cadena de suministro pues considera que la estandarización no lleva directamente a lograr ese objetivo. Y afirma que no sólo “los equipos chinos son una amenaza única para las redes 5G y solo pueden gestionarse excluyéndolos de la red” sino que asegura que los defensores de Open RAN no han abordado este “enigma clave de seguridad”. Puntualiza, por esta razón, que creer que Open RAN puede reducir la dependencia de los proveedores chinos es erróneo en tanto la alianza también está integrada por empresas chinas. De hecho, ZTE es una de sus miembros.
Concluye apuntando que “el informe también documenta que las asociaciones comerciales y los funcionarios del gobierno de Estados Unidos han promocionado Open RAN y sus beneficios de seguridad sin proporcionar evidencia empírica o demostraciones técnicas”. Con este punto culmina el reporte y, si bien no expresa una conclusión terminante, da a entender que, además de ser una tecnología en la que participan los chinos – a los que detesta, tal como se puede ver en este artículo de opinión– el gran problema radica en la falta de claridad sobre la seguridad de Open RAN.
