Más riesgos y controles del 5G

Siguiendo con el hilo del anterior post en el que comenté algunos de los riesgos del 5G, en este presentaré algunos riesgos más y los controles y medidas necesarias para mitigar esos riesgos. 

Pero antes de todo, veo conveniente dejar claros algunos conceptos como riesgo, control, amenaza y vulnerabilidad. En el ámbito de la informática podemos definir el riesgo como la probabilidad de que ocurra un incidente de seguridad. Por otro lado, la amenaza es una acción que podría tener un potencial efecto negativo sobre un activo. Por sí sola la amenaza no provoca un daño, necesita de una debilidad o fallo en los sistemas para que se materialice el daño, a estas debilidades o fallos les llamamos vulnerabilidades. Por lo tanto, podemos decir que un riesgo es la probabilidad de que ocurra una amenaza utilizando una vulnerabilidad generando un daño [1]. 

Para mitigar estos riesgos, se emplean controles que permiten asegurar la calidad de nuestros sistemas y a su vez, estos controles necesitan ser auditados para asegurar que se cumplen como se deben.

Tras el apoyo del Consejo Europeo el 22 de marzo de 2019 para un enfoque concertado de la seguridad de las redes 5G, la Comisión Europea adoptó su recomendación sobre la ciberseguridad de las redes 5G el 26 de marzo de 2019. Esta recomendación pedía a los Estados miembros que completaran evaluaciones de riesgos y revisaran las medidas nacionales, trabajando juntos a nivel de la UE con el objetivo de concretar una evaluación de riesgos coordinada y preparar una “caja de herramientas” de posibles medidas de mitigación.
Cada Estado miembro completó su propia evaluación de riesgos de sus infraestructuras de red 5G y transmitió los resultados a la Comisión y a ENISA. Gracias a esto se desarrolló una “caja de herramientas” de la UE para la mitigación de riesgos en cuanto a redes 5G [2].

Este documento comienza enumerando 9 riesgos fundamentales a tener en cuenta:

  1. Mala configuración de redes.
  2. Falta de controles de acceso.
  3. Baja calidad del producto.
  4. Dependencia de un solo proveedor dentro de redes individuales o falta de diversidad a nivel nacional.
  5. Interferencia estatal a través de la cadena de suministro 5G.
  6. Explotación de redes 5G por parte del crimen organizado dirigido a usuarios finales.
  7. Interrupción significativa de infraestructuras o servicios críticos.
  8. Fallo masivo de las redes debido a la interrupción del suministro eléctrico u otros sistemas de apoyo.
  9. Explotación del IoT, teléfonos o dispositivos inteligentes.

Estos riesgos se pueden agrupar en diferentes escenarios. El primer y segundo riesgo hacen referencia a un escenario relacionado con una insuficiencia de medidas de seguridad. El tercero y cuarto están relacionados con la cadena de suministro. El quinto y sexto surgen de acciones negativas por parte de terceros actores. El séptimo y octavo riesgo surgen por el fallo de un sistema unido a la red 5G y por último, el noveno está relacionado con dispositivos para el usuario final. Tal vez este último riesgo sea uno de los que más se diferencia respecto a los riesgos que pudieran haber tenido y que siguen teniendo redes móviles de anteriores generaciones como el 4G y el 3G.

En el mismo documento también se plantean medidas que permiten mitigar los riesgos comentados anteriormente. A partir de estas medidas se pueden sacar los controles que aseguren la calidad de la red 5G. He realizado la siguiente tabla teniendo en cuenta el documento, seleccionando, resumiendo y adaptando el contenido:

En conclusión, los controles parecen estar muy dirigidos a los operadores de red móvil, esto puede expresar una clara preocupación por parte de estas empresas. Al final, dentro de un sistema compuesto por muchos agentes, el nivel de seguridad suele ser el del eslabón más débil y es donde hay que poner el foco. En mi opinión, estas medidas no serán suficientes para evitar que se materialicen ciertas amenazas ya que todo no se puede prever. Además, esta tecnología que posibilita que otras cojan fuerza, hace que ciertos problemas solo salgan a la vista una vez que esté completamente implantada. Creo que todavía hay mucho trabajo por delante en cuanto al 5G.

Bibliografía

[1] <<Diferencias entre ataque, amenaza y vulnerabilidad en Ciberseguridad>>, EALDE, consultado el 12/11/2020,
https://www.ealde.es/ataque-amenaza-vulnerabilidad-ciberseguridad/#:~:text=El%20concepto%20de%20vulnerabilidad%20en%20Ciberseguridad&text=Esta%20puede%20considerarse%20como%20la,de%20un%20sistema%20de%20informaci%C3%B3n.&text=Las%20amenazas%20representan%20un%20potencial,que%20se%20materialice%20ese%20da%C3%B1o

[2] <<EU Toolbox of risk mitigating measures>>, European Union, consultado el 12/11/2020, https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures