5G: El cuento chino del espionaje

Desde el año pasado, EE UU ha acusado a Huawei de diversos delitos, pero nunca ha mostrado pruebas. Ahora es el turno de la Comisión Europea, que va a hacer un estudio sobre el despliegue del 5G.

En diciembre de 2017, Donald Trump firmó una ley que prohibía a cualquier oficina estatal utilizar antivirus de la firma Kaspersky. ¿La razón? Temor a ser espiados por una compañía cuya base está en en Moscú. Jamás se presentaron pruebas y la compañía de software llevó a cabo dos demandas ante jueces de EE UU que fueron denegadas. Pese a ello, en agosto de 2018, muchas oficinas estatales señalaban que no podían cumplir con la prohibición y tenían que seguir utilizando el software. Más o menos en la misma fecha, Trump lanzó una medida: vetar el uso de equipos de Huawei en la configuración del estándar de comunicación 5G. Y tal y como ocurrió con Kaspersky, otros países se sumaron al veto aunque el Gobierno de Trump no haya presentado pruebas... más de seis meses después. Ahora es el turno de la UE, que aprobó el pasado viernes un documento en el que consta que la Comisión realizará un estudio sobre el despliegue del 5G con el fin de tener una posición común ante Huawei.

El motivo es que estamos ante un mercado clave. Según un estudio de Persistence Market Research, el mercado global de equipos de red 5G (antenas y routers, no móviles) pasará de los más de 1.100 millones de euros en 2018 a los 18.200 millones en 2019 (el PIB de más de 70 países). Y entre 2019 y 2025 el crecimiento será exponencial: un 59.3%.

«Todo esto tiene un trasfondo político muy fuerte», explica a LA RAZÓN Luis Corrons, experto en seguridad de Avast y miembro de la Junta Directiva de Amtso, la Organización de Estándares de Pruebas Anti-Malware .

«Este caso –prosigue– me recuerda al de Kaspersky: el Gobierno de EE UU dijo que podía usarse para espiar y nunca mostró pruebas fehacientes de ello. Lo que pasa aquí es que no confían los unos en los otros. Y lo que dicen es: esta empresa está montando la infraestructura que va a dar soporte a las comunicaciones de mi país y yo me puedo fiar de la tecnología. Es fantástica pero, ¿quién me garantiza que mañana no haya un conflicto con China, y el gobierno no fuerce a Huawei, que pueden ser los más honestos del mundo, a espiar? El miedo no es que Huawei les esté espiando, sino que el gobierno chino obligue a este empresa a espiar». Y a eso se suma que, en el mercado del 5G, Huawei era uno de los jugadores más importantes. De hecho, la noticia del veto de EE UU a Huawei, propulsó el alza de Nokia, Ericcson, Qualcomm o Cisco, implicadas en la puesta a punto del 5G. Así, la guerra declarada por EE UU y seguida por varios países no solo tiene que ver con lo político. Pero, ¿hay alguna verdad? ¿Se puede saber si un equipo tiene tecnología para espiar?

Aprovechando el próximo congreso de ciberseguridad, ConPilar, que se llevará a cabo entre el 12 y el 13 de abril en Zaragoza, hablamos con algunos de los ponentes para buscar una respuesta. Para Susana González, de ECIX Group, «sí, es posible. Si hay “algo” instalado en un dispositivo destinado a espionaje, tarde o temprano tendrá que transmitir la información que ha estado recopilando y es, en esa transmisión, cuando puede detectarse».

Para Pablo F. Iglesias, consultor de Presencia y Reputación Digital, «posible es. El problema es que puede resultar muy difícil descubrirlo. Casos recientes como el micrófono incluido sin conocimiento en algunos de los productos para hogar de Nest o aquel The Big Hack, en el que servidores de uso masivo incluían un chip que permitía el espionaje, son ejemplos de ello».

Por su parte, Joaquín Molina, del equipo de seguridad de Verne Telecom, señala dificultades cuando se le pregunta si es posible detectar en un router, antena o smartphone si hay algún software o hardware destinado a espionaje: «Sí y no. Se puede intentar averiguar mediante comprobaciones, pero no hay una respuesta clara. Depende del tiempo y recursos que se quieran invertir en la detección. Industrias de sectores críticos, como puedan ser energéticas, realizan auditorías de seguridad a todo el hardware nuevo que contratan. Es decir, no compran un aparato porque se ajusta a sus necesidades en cuanto a funcionalidad y precio, sino que, aparte de exigir políticas de seguridad concretas, hacen estas investigaciones de forma sistemática».

Teniendo en cuenta que ya han pasado más de seis meses del inicio de este conflicto, nos preguntamos si sería tiempo suficiente para saber si las antenas, por ejemplo, llevan algún «obsequio» escondido. La mayoría de los expertos consultados coinciden en dos aspectos. El primero de ellos es que depende mucho de los recursos que se asignen a dicha tarea y del grado de conocimiento del personal asignado. Para Corrrons, «los tiempos dependen del software que tengan dentro (un hardware dejaría pruebas y eso no es bueno). Pueden ser días, semanas o algún mes que otro. Si se pone en esa tarea gente que sabe lo que está haciendo, no más de cinco meses».

El otro aspecto es que se trata de una estrategia del Gobierno de Trump, más que de un hecho probado. «De cara a la opinión pública – concluye Corrrons –, es más difícil de justificar, ya que no pueden decir “no quiero porque no quiero”, y es que no pueden demostrar nada porque seguramente no esté justificando». Iglesias concuerda con esta visión: «La decisión de la UE, Canadá y el resto de países que se han sumado a ese bloqueo, creo que va más por mantener contento al Gobierno de Trump, que porque realmente haya pruebas de la injerencia china. Si hay pruebas fehacientes de ello, no sé por qué están tardando tanto en sacarlas a la luz».