Huawei: la mayoría de las vulnerabilidades están en OTT, no en redes

Los servicios de transmisión libre (OTT) tienen espacio para mejorar la ciberseguridad, ya que la mayoría de las vulnerabilidades y ciberataques ocurren en esta capa y no en las redes de infraestructura de telecomunicaciones.

El director de gobernanza en ciberseguridad global de Huawei Brasil, Marcelo Motta, comentó al respecto en un debate sobre 5G y seguridad durante el evento virtual Painel Telebrasil que se realizó el martes.

Según Motta, una amplia gama de ciberataques causó pérdidas estimadas en más de US$600.000 millones en todo el mundo el año pasado.

Las autoridades estadounidenses están llevando a cabo una guerra de presión contra Huawei y otras empresas tecnológicas chinas. La administración de Donald Trump acusó a la compañía de facilitar el espionaje por parte del Gobierno chino. Huawei y autoridades chinas han rechazado enérgicamente estas afirmaciones, argumentando que es EE.UU. quien tiene antecedentes de usar firmas locales para espiar.

Brasil aún tiene que decidir si veta la tecnología de la compañía para el despliegue de redes de 5G.

Al comentar sobre las acusaciones de Estados Unidos, Motta dijo que la industria de telecomunicaciones certifica, estandariza y controla constantemente todos los equipos de la compañía.

Una de las certificaciones obtenidas por Huawei es un esquema de garantía sobre la seguridad de equipos de red denominado Nesas, que otorgan conjuntamente la asociación GSM (GSMA), la entidad más grande de operadores móviles del mundo, y el organismo de estándares inalámbricos 3GPP.

Los proveedores chinos Huawei y ZTE, así como las firmas escandinavas Ericsson y Nokia, pasaron la primera fase de los requisitos de seguridad de Nesas a través de una auditoría de seguridad independiente, informaron GSMA y 3GPP.

GSMA dijo que Nesas proporciona "un marco de garantía sobre la seguridad en toda la industria para facilitar mejoras en los niveles de seguridad de toda la industria móvil", señaló la entidad.

Motta indicó que esta no es la única certificación en el mercado y que hay otras diseñadas para probar y verificar equipos de telecomunicaciones. Agregó que Huawei tiene más de 270 certificaciones de productos.

“Pero se trata de equipos de red. Luego viene la conexión de estos equipos con las otras capas de la arquitectura de la red”, que pasa por operadores y proveedores de servicios a través de internet, u OTT.

“Debemos tener en cuenta que se conectarán cada vez más dispositivos a raíz de 5G e internet de las cosas”, advirtió.

Motta dijo que es importante que los operadores tengan múltiples proveedores de equipos porque esto aumenta la competitividad, reduce los precios de la tecnología y mejora la seguridad de las redes disminuyendo la exposición a fallas o vulnerabilidades. En Brasil, las empresas ya trabajan con diversos proveedores de redes en distintas regiones del país.

El ejecutivo también señaló que los operadores conocen sus redes mejor que nadie y, por lo tanto, están en mejores condiciones para elegir los proveedores más adecuados.

Finalmente, el ejecutivo destacó que los marcos reglamentarios "evolucionan en todo el mundo" y mencionó el caso del mercado alemán, donde las discusiones son "muy técnicas" y abarcan una serie de normas y pruebas "sin discriminar a un proveedor por su país de origen".

ERICSSON

Para el director de investigación, desarrollo e innovación de Ericsson Brasil, Edvaldo Santos, la tecnología que ofrece la industria cumple estrictos estándares de seguridad.

Santos destacó además el trabajo de certificación que realiza la industria para verificar la confiabilidad de los equipos y dijo que hay “exageración” en la discusión en curso sobre las vulnerabilidades de los equipos.

"Siempre se pueden mejorar las certificaciones y los procesos, pero no debemos sobrestimar la preocupación por la seguridad para evitar descuidar el potencial de desarrollo que esta tecnología [5G] puede traer", agregó.

LA ACREDITACIÓN NO LO ES TODO

En opinión de Cristine Hoepers, gerenta general del centro de estudios, respuesta y solución de incidentes de seguridad de Brasil, parte de la comisión directiva de internet CGI.br, la certificación no es todo lo que se necesita.

Señaló que  solo con la certificación no es posible comprobar que cierto dispositivo no presenta vulnerabilidades.

Hoepers explicó que la certificación da fe de la protección más que de la seguridad de que los equipos que funcionarán durante unos 30 años. Sin embargo, en ese período de 30 años "los problemas de seguridad pueden evolucionar, los ataques evolucionan. Los humanos desarrollan software y los humanos cometen errores", indicó.

E incluso si las actualizaciones de certificación se proporcionan con el paso del tiempo, siempre llegan a posteriori y entre la actualización de una certificación pueden pasar muchas cosas.

“Lo deseable es contar con requisitos mínimos y responsabilidad por parte de los fabricantes”, agregó.

Hoepers también está de acuerdo en que la diversidad de fabricantes es la mejor regla de resiliencia, ya que permite que las empresas solucionen errores de software.

GOBIERNO

Artur Coimbra, director de banda ancha del Ministerio de Comunicaciones de Brasil, dijo que el gobierno ha debatido sobre la seguridad de la red con mayor intensidad desde el lanzamiento de la estrategia de seguridad digital hace tres años, la cual se reforzó con la estrategia nacional de ciberseguridad que se acaba de aprobar, principalmente bajo el control de la oficina de seguridad institucional, GSI.

Coimbra dijo que, dado que 5G es una red más descentralizada y definida por software a diferencia de 3G y 4G, se plantean importantes problemas de seguridad.

Reconoció que muchos operadores ya adoptan una estrategia de diversificación de proveedores, lo que reduciría su exposición a riesgos.

Agregó que "la discusión reglamentaria 2020 de GSI proporciona una guía uniforme sobre los enfoques de seguridad de red que se darán", como rutas de tráfico alternativas, ataques de datos, redundancia y disponibilidad, entre otros aspectos.

Admitió que el gobierno debería comenzar a entregar información oficial sobre ciberdefensas y métricas relacionadas con el tema.

Asimismo, dijo que las autoridades continúan siguiendo lo que se debate en otros países sobre las redes de 5G y comentó que los enfoques van desde prohibir a ciertos fabricantes hasta proponer nuevos modelos de auditoría.

En Brasil, los ministerios de Comunicaciones, Relaciones Exteriores y Economía debaten sobre la seguridad en 5G, junto con GSI y la Presidencia, que tiene la última palabra al respecto.