España podrá vetar de la red 5G a empresas “vinculadas al gobierno de terceros países”

El Gobierno podrá sacar de la parte crítica de la red 5G española todo dispositivo o programa informático que provenga de empresas que supongan un riesgo de “injerencias externas”. Esto es: que ellas o sus cadenas de suministro tengan “vínculos con los gobiernos de terceros países”, que puedan verse sometidas al “poder de un tercer Estado para ejercer presión”, que no formen parte de acuerdos de cooperación internacional sobre delitos cibernéticos o que no respeten las leyes de protección de datos españolas.

Estas medidas se incluyen en el Real Decreto-ley “para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación” aprobado por el Consejo de Ministros como parte del “Plan Nacional de Respuesta” a la guerra de Ucrania y ha sido publicado en el BOE este miércoles. La norma no cita a ninguna compañía concreta ni a Rusia. Tampoco a China, acusada por EEUU de utilizar los equipos 5G de Huawei como una herramienta de espionaje. El Gobierno estadounidense no ha ofrecido hasta la fecha pruebas de ello y la empresa china lo niega.

Pedro Sánchez había adelantado la aprobación de una ley específica para proteger la red 5G en el plan de recuperación del coronavirus, pero el Ejecutivo ha decidido acelerar su entrada en vigor “por el incremento considerable del riesgo de ciberataques por motivos geoestratégicos”, explican fuentes oficiales. Tras la invasión rusa de Ucrania, España elevó el nivel de alerta ante ciberataques del grado dos al tres (en una escala de cinco escalones) e instó a funcionarios y diplomáticos a reforzar la atención a la ciberseguridad en su entorno.

La estrategia de respuesta a la guerra aprobada por el Consejo de Ministros también incluye un nuevo “Plan Nacional de Ciberseguridad” con 150 medidas para mejorar las defensas de las pymes, crear mecanismos de alerta y respuesta ante ataques informáticos en administraciones locales o “promover un mayor nivel de cultura de ciberseguridad”. Está dotado de 1.000 millones de euros. El contenido del plan aún no se ha hecho público y el Ministerio de Presidencia y el de Asuntos Económicos y Transformación Digital no han ofrecido más detalles sobre él ante las preguntas de elDiario.es.

El plan también menciona la necesidad de “acelerar” la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado, un organismo anunciado por Sánchez por primera vez en 2018, que fue relanzado en mayo de 2021 ante la avalancha de ciberataques que sufrían las instituciones públicas y que vuelve a aparecer ahora en un plan de emergencia del Gobierno.

Proveedores “de alto riesgo”

Por el momento la única medida de ciberseguridad que ha llegado al BOE son las nuevas normas para el 5G. En ellas el Ejecutivo ha planteado una protección basada en la declaración de distintos niveles de riesgo que pueden entrañar determinados proveedores de esta tecnología de telecomunicaciones.

Para vetar los productos de una determinada empresa de la parte crítica de las redes 5G —las que controlan el núcleo de la red, sus sistemas de control o incluso toda la red de acceso en zonas geográficas concretas— el Consejo de Ministros deberá declararla como un “suministrador de alto riesgo”. Para ello tendrá que contar con un informe del Consejo de Seguridad Nacional y convocar a una audiencia previa a las teleoperadoras que podrían verse afectadas por esta decisión, así como a la propia compañía señalada.

El Real Decreto-ley establece un período de tres meses desde este miércoles para que el Gobierno pueda calificar por primera vez a un suministrador como “de alto riesgo” y congelar su presencia en la infraestructura 5G. El plazo mínimo que la norma da de margen a las operadoras para sacar completamente de sus redes los dispositivos de un proveedor vetado es de un año. El Reino Unido ha empezado en 2022 este mismo proceso para excluir completamente de su infraestructura los productos de Huawei.

Un “suministrador de alto riesgo” tampoco podrá tener ningún tipo de presencia en las redes de centrales nucleares o de “centros vinculados a la Defensa Nacional”, así como en otras ubicaciones especialmente relevantes para la seguridad nacional o el mantenimiento de servicios esenciales o sectores estratégicos. La lista completa de lugares vedados la elaborará el Consejo de Seguridad Nacional y su contenido será material clasificado.

Cualquier acceso a las tripas del 5G deberá quedar registrado con nombre y apellidos

El Real Decreto-ley recoge también un nuevo paquete de normas de seguridad que deberán aplicar las teleoperadoras. “Son totalmente nuevas y limitadas a la tecnología 5G”, explican a este medio fuentes de la Secretaría de Estado de Telecomunicaciones.

Una de las más llamativas es la necesidad de elaborar un registro que incluya a toda persona que abra la caja del 5G, ya sea en su parte física o digital. Las operadoras deberán “seleccionar e identificar” a los profesionales que puedan manipular “todos los activos que integran una red de telecomunicaciones, todo lo que compone y garantiza el funcionamiento de una red, no sólo equipos, estaciones base, concentradores, etc., sino también sistemas y aplicaciones (software)”, detallan fuentes oficiales.

La nueva ley también hace hincapié en la necesidad de que las operadoras de comunicaciones diseñen una “estrategia de diversificación en la cadena de suministro” para impedir que sus sistemas dependan de un solo proveedor, un plan que deberán actualizar periódicamente y comunicar al Ministerio de Asuntos Económicos. Además deberán someterse a auditorías de ciberseguridad externas.