Huawei alerta del riesgo de quedarse atrás en el despliegue del 5G si el Gobierno impone una ley discriminatoria

Huawei reclama que el Gobierno aplique la Ley de Ciberseguridad 5G de forma “objetiva, no discriminatoria y proporcional”. Así lo señaló Gonzalo Erro, director de ciberseguridad de Huawei en España, ante un grupo de medios españoles que acudieron al Centro de Ciberseguridad de la empresa en Bruselas, entre los que se encontraba LA RAZÓN. La normativa, aprobada por real decreto el pasado 29 de marzo, contempla la exclusión de los proveedores de “alto riesgo” del despliegue de las redes de 5G en España. Aunque la publicación del listado con estos proveedores aún no se ha producido —se da un plazo de tres meses desde la aprobación de la ley—, los tres grandes operadores de telecomunicaciones en España (Telefónica, Vodafone y Orange), ya han dejado de lado a la firma china en su elección para extender esta nueva tecnología.

La multinacional no ha sido elegida por los operadores para el despliegue de partes como el core, pese a que el Gobierno de España siempre ha defendido el protagonismo que debe tener la tecnológica en este proceso. Hasta el momento, la compañía siempre ha cumplido con todos los estándares de seguridad necesarios y no ha sido calificada como proveedor de alto riesgo, pero el efecto del veto a Huawei en Estados Unidos se ha extendido a Europa. Las ondas de este seísmo han llegado a España con la ley de 5G, donde las ‘telecos’ han tomado sus decisiones motivadas por la incertidumbre sobre el futuro jurídico de Huawei. La multinacional afirma que no dejará de invertir en España, donde lleva más de 20 años colaborando con los operadores, pero alerta sobre los riesgos de que la nueva normativa vete a Huawei en base a miedos infundados.

Pérdida de competitividad e impacto económico

“España no puede retrasarse con respecto al despliegue del 5G porque perdería competitividad respecto a sus vecinos europeos”, advirtió Erro. La protección de la seguridad nacional puede justificar casi todo, incluido un mecanismo de vetos a proveedores. El problema llega cuando este se extiende más allá de casos excepcionales. La pérdida de competitividad y de capacidad innovadora, el retraso en el despliegue del 5G y el encarecimiento de este proceso serían las principales consecuencias de esta decisión, señaló Koen Claesen, asesor senior de ciberseguridad de Huawei. En concreto, “restringir la participación de un actor clave podría aumentar el coste del despliegue de la red 5G hasta los 292 millones al año (19% de los costes de referencia) y reducir el PIB español en el horizonte de 2035 en 3.700 millones”, recoge un estudio realizado por Oxford Economics.

La nueva legislación tiene el objetivo de crear un marco seguro para el despliegue de esta tecnología dados sus riesgos específicos. Para lograrlo, la Ley de Ciberseguridad 5G establece que los operadores tendrán que implantar una estrategia de diversificación de proveedores para minimizar los riesgos con, al menos, dos proveedores por red. Pero el cumplimiento de este punto topa con una barrera: la lista de proveedores es ya de por sí reducida y puede verse mermada por la propia normativa. Si alguno de los proveedores entra en la lista de alto riesgo podría ponerse en peligro el despliegue de 5G. De esta manera, tanto para España como para Europa, será mucho más difícil subirse al tren del 5G.

Criterios para incluir a proveedores en la lista negra

El artículo 14 del real decreto del 29 de marzo establece los aspectos que se valorarán para calificar que determinados proveedores son de alto riesgo. Estos son:

-Los vínculos de los suministradores y de su cadena de suministro, con los gobiernos de terceros países.

-La composición de su capital social y la estructura de sus órganos de gobierno.

-El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.

-Las características de la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de la Organización de las Naciones Unidas de ese tercer Estado.

-Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado.

-El grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, al Reglamento General de Protección de Datos aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Las injerencias de un tercer Estado podrían estar detrás del veto tácito a Huawei. La firma ha sido tachada de ser una puerta trasera del gobierno chino, una acusación que no se ha podido demostrar y que Huawei quiso desmentir expresamente durante el encuentro organizado en su Centro de Ciberseguridad de Bruselas. La compañía cuenta con 200.000 trabajadores, de los cuales 131.507 son accionistas de la marca, lo que le permite no depender de gobiernos o inversores externos, y poner en manos de los trabajadores el poder de elegir a sus altos cargos. “Ese artículo 14 está previsto para situaciones excepcionales que vienen del toolbox europeo —recomendaciones de ciberseguridad para redes 5G de la que proviene gran parte de la normativa española—, y debe limitarse a escenarios absolutamente excepcionales”, apuntó Gonzalo Erro.

La incógnita sobre qué proveedores entrarán en la lista negra del Gobierno se resolverá a finales de junio. En el plazo de tres meses a contar desde la entrada en vigor del real decreto-ley, el Gobierno publicará la declaración de suministradores de alto riesgo y la determinación de centros y ubicaciones en los que no se podrán utilizar equipos, productos o servicios de suministradores de alto riesgo. Y, en un plazo de seis meses, se aprobará el primer Esquema Nacional de Seguridad de redes y servicios 5G.

Políticas de ciberseguridad de Huawei

El real decreto del 5G se aprobó junto al paquete de medidas para paliar los efectos de la guerra de Ucrania, en lugar de tramitarse como una ley al uso. Por el momento se trata más de un marco general —a la espera de que se publiquen todos los apartados anteriormente nombrados—, pero se ajusta bastante al texto que Huawei esperaba. “Era un paso que se tenía que dar en algún momento”, explicó el director de ciberseguridad de Huawei. “La estructura se mantiene similar a la propuesta de 2020, con algún cambio que tiene en cuenta las aportaciones de la audiencia pública”, añadió.

“A falta de las medidas que se van a desarrollar en el esquema, creemos que nuestros deberes están hechos”, defendió Erro respecto a una posible entrada en la lista de proveedores de alto riesgo. “Nuestra estrategia es seguir en la misma línea, mostrando nuestra transparencia y nuestra colaboración con los gobiernos para el cumplimiento de la normativa”, añadió. En este sentido, Bob Xie, CSO de Huawei en la región de Europa occidental, subrayó que “el compromiso de Huawei con la ciberseguridad nunca dependerá de intereses económicos”. Asimismo, la compañía también se mostró a favor de que “los operadores puedan tomar sus decisiones comerciales basadas en su análisis de riesgos”.

La firma también presentó en Bruselas sus estándares de ciberseguridad y se mostró confiada de que cumplan los requisitos del Gobierno español. Huawei cuenta con 2.600 trabajadores dedicados a ciberseguridad. De ellos, una unidad de 200 trabajadores funciona de manera independiente respecto a la línea de desarrollo de producto y garantiza que todos los servicios y dispositivos de la compañía cumplan los requisitos de ciberseguridad. Asimismo, la compañía cuenta también con una política de trazabilidad del código que permite identificar al autor de cada línea. Huawei complementa su política de privacidad interna con certificaciones externas e independientes de sus dispositivos que realizan laboratorios como Dekra en España.