El Economista Jorge Bravo

Estados Unidos, Reino Unido y Estonia son los países más ciberseguros del orbe, según el Índice Global de Ciberseguridad 2020 de la Unión Internacional de Telecomunicaciones (UIT). ¿Qué podemos aprender de ellos?

El hackeo a la Secretaría de la Defensa Nacional (Sedena) por los ciberactivistas Guacamaya es demasiado grave como para limitar el debate en descalificaciones al gobierno de la 4T y las instituciones por no darle importancia a un tema que lo amerita por sí mismo.

México se ubica en la posición 52 del índice de la UIT y tiene un caos normativo, institucional y de coordinación en la materia que busca ser resuelto a través de una Ley Federal de Ciberseguridad. Antes de ello, México no ha definido cómo abordar su enfoque en ciberseguridad, por lo que debería abrir el debate a todas las partes interesadas antes de imponer una legislación.

El hackeo a la Sedena debe servir y ser una lección para fortalecer la ciberseguridad en el país.

El rápido desarrollo de las tecnologías digitales ha contribuido al avance de la economía, la competitividad, el bienestar de la población y la mejora de los servicios públicos. Pero a mayor conectividad y dependencia de Internet, surgen nuevos desafíos, uno de ellos la ciberseguridad.

Estados Unidos aborda la ciberseguridad a través de estatutos, regulaciones y, sobre todo, requisitos a la industria privada. La Ley de Intercambio de Información sobre Ciberseguridad (CISA) permite el intercambio de información de tráfico de Internet entre el gobierno federal y las empresas de tecnología.

A nivel federal, numerosas agencias imponen estándares de ciberseguridad. El objetivo es que las organizaciones de atención médica, las instituciones financieras y las dependencias federales protejan sus sistemas e información.

Un aspecto interesante de EE.UU. son sus leyes locales. Los gobiernos estatales han tomado medidas para mejorar la seguridad cibernética después de diversos incidentes, mediante el intercambio de información público-privada.

En California, las empresas que procesan datos personales de ciudadanos que sufran una violación a su privacidad, deben notificar el ataque y revelar los detalles del evento. La regulación local castiga a las empresas por fallos de seguridad cibernética. Las compañías invierten proactivamente en ciberseguridad para evitar la pérdida de reputación y económica.

Reino Unido no tiene una sino numerosas leyes sobre aspectos cibernéticos basadas en estatutos y respaldadas por acciones civiles en el derecho consuetudinario (costumbres, prácticas y creencias aceptadas como normas obligatorias de la comunidad).

Destacan la Ley de Protección de Datos y el Reglamento de Privacidad y Comunicaciones Electrónicas para los proveedores de servicios de telecomunicaciones. Existen sanciones relevantes tanto para los directivos negligentes, el incumplimiento y la falta de medidas de seguridad adecuadas para proteger los datos personales.

Las normativas de ciberseguridad obligan a todas las empresas y organizaciones que procesan datos de los habitantes. La legislación adopta un enfoque basado en el riesgo y la cooperación entre la autoridad y el sector privado.

El gobierno aborda dicho riesgo mediante un Centro Nacional de Seguridad Cibernética (NCSC) que debe proteger los servicios críticos, gestionar incidentes importantes y mejorar la seguridad con tecnología y asesoramiento.

El NCSC diseña una Estrategia Nacional de Seguridad Cibernética de cinco años para educar, desarrollar habilidades digitales, crear conciencia, ayudar a las pequeñas empresas y organizaciones, mejorar las salvaguardas de ciberseguridad, defenderse, disuadir, mitigar los riesgos y efectos de los ataques y desarrollar la defensa cibernética.

La Estrategia Nacional de Seguridad Cibernética 2017-2021 contó con un presupuesto de 1,900 millones de libras esterlinas, más del doble que la primera estrategia (2011-2016). El NCSC recién publicó la tercera generación de la Estrategia Nacional de Seguridad Cibernética.

Estonia aborda la ciberseguridad como parte de una seguridad integral, en el contexto de la Organización del Tratado del Atlántico Norte (OTAN) y la seguridad nacional. El Centro de Excelencia Cooperativa de Defensa Cibernética de la OTAN se ubica en Tallin, capital de Estonia.

Estonia adoptó la tecnología, Internet y la innovación como parte de su proyecto de nación. Cuenta con una identificación e identidad digital para cada ciudadano que permite el acceso a los servicios públicos en línea. Por lo tanto, invierte dinero y recursos para garantizar la resistencia de sus redes.

Comprende la naturaleza global de las amenazas en el ciberespacio y la necesidad de una acción internacional y multilateral coordinada. Estonia es un modelo a seguir internacionalmente y su estrategia consiste en construir normas internacionales de ciberseguridad, reglas de comportamiento en el ciberespacio, promueve la cooperación internacional en ciberseguridad con aliados y socios tecnológicos, legislativos y diplomáticos. Busca aplicar el derecho internacional a los conflictos y la guerra cibernética.

Estonia tiene tanto una Estrategia Nacional de Seguridad Cibernética como una Ley de Ciberseguridad, además de un Departamento de Diplomacia Cibernética ubicado en el Ministerio de Relaciones Exteriores.

El enfoque de Estonia es diplomacia cibernética, cooperación internacional, intercambio, inversión, emprendimiento legal e innovación.

Estos tres países han asumido la ciberseguridad como un asunto serio, estratégico y de seguridad nacional. Hoy son líderes en ciberseguridad porque en su momento supieron reaccionar después de ciberataques graves a sus instituciones e infraestructuras. Cada uno tiene enfoques diferentes, por lo que México debe realizar un diagnóstico certero sobre qué quiere proteger en el ciberespacio y cuál es su enfoque en ciberseguridad.

El gobierno del Reino Unido estableció nuevas fechas provisionales para remover equipo de Huawei del núcleo de las redes de telecomunicaciones del país hasta diciembre de 2023, desde la fecha originalmente propuesta para enero del mismo año, luego de que algunos operadores advirtieran sobre posibles afectaciones a la operación de la red.

Huawei y 35 operadores nacionales recibieron avisos legales acerca de las nuevas fechas y el fundamento legal para la remoción del equipo del fabricante chino, de acuerdo con un comunicado del Departamento de lo Digital, Cultura, Medios y Deporte (DCMS, por sus siglas en inglés).

La decisión recibió el respaldo legal al ser incluida en la recién emitida Ley de Seguridad de Telecomunicaciones. Asimismo, el Centro Nacional de Ciberseguridad (NCSC) alertó sobre el riesgo de operación de equipo de Huawei, luego de las sanciones comerciales impuestas por el gobierno de Estados Unidos que restringen el acceso del fabricante a tecnología de semiconductores.

Por su parte, Huawei recibió un “aviso de designación” como “proveedor de alto riesgo para equipos y servicios de 5G”, en la que se detallan los riesgos evaluados por el gobierno británico, tales como injerencia del gobierno chino en actividades de espionaje, una evaluación realizada por el NCSC que advierte sobre los riesgos de calidad de los equipos, y el impacto que pudieran tener las sanciones del gobierno estadounidense, entre otros.

Huawei ha negado en reiteradas ocasiones que se le haya solicitado participar o colaborar en actividades de espionaje para otros gobiernos, a la vez que se ha mostrado dispuesta a colaborar con las autoridades locales.

De acuerdo con el documento entregado a Huawei, hasta 2019 el fabricante tenía una participación del mercado de fibra hasta las instalaciones (FTTP) de 44 por ciento y de 35 por ciento del mercado de acceso móvil.

La directiva establece los controles que se aplicarán al uso de Huawei por parte de los operadores, lo que incluye la prohibición inmediata de la instalación de nuevos equipos de la marca china en redes 5G; eliminar los equipos de Huawei de las redes 5G para fines de 2027; y eliminar su equipo del núcleo de la red antes del 31 de diciembre de 2023.

En el caso de las redes de fibra, el gobierno británico establece que se deberá limitar a Huawei al 35 por ciento de participación de la red de acceso de fibra completa para el 31 de octubre de 2023, y no instalar ningún equipo de Huawei que se haya visto afectado por las sanciones de Estados Unidos en redes de fibra completa.

Los operadores también se verán obligados a retirar el equipo de Huawei de los sitios importantes para la seguridad nacional antes del 28 de enero de 2023.

El gobierno británico advierte que para un pequeño número de operadores, los dos plazos provisionales para el núcleo y la red de acceso de fibra completa podrían provocar cortes de red e interrupciones para los clientes, debido a los retrasos causados por la pandemia y los problemas de la cadena de suministro global.

En ese sentido, explica que “se han establecido formalmente plazos provisionales que equilibran la necesidad de eliminar a Huawei lo más rápido posible y evitar una inestabilidad innecesaria en las redes. Los expertos en seguridad cibernética líderes en el mundo del Reino Unido en el NCSC han acordado que este es un equilibrio sensato”.

A mediados de 2022, BT presentó una solicitud de prórroga al gobierno británico para tener más tiempo en el reemplazo de equipo Huawei de su red, conforme la compañía enfrenta dificultades derivadas de la disrupción en las cadenas de suministro para nuevos equipos.

Sin embargo, el gobierno británico indicó que espera que los proveedores de servicios cumplan con las fechas objetivo originales para la eliminación de Huawei de los núcleos de la red (enero de 2023) y limitar su participación en la red de fibra (julio de 2023) “siempre que sea posible”.

El gobierno del Reino Unido publicó una nueva estrategia de ciberseguridad nacional para “asegurar que el país continúe teniendo confianza, capacidad y resistencia en este mundo digital”. La nueva estrategia contará con un presupuesto de hasta 2.6 mil millones de libras (3.43 mil millones de dólares), que permitirá impulsar iniciativas como la mejora de equipo para la policía cibernética y en iniciativas de investigación y desarrollo del sector.

La nueva estrategia se construye a partir de lo establecido por el anterior documento publicado en 2016, con la intención de fortalecer la “posición del Reino Unido como una potencia cibernética global”.

Aunque la ciberseguridad se mantiene al centro de la estrategia, el comunicado destaca que esta nueva versión “da mayor peso a las tecnologías críticas y la infraestructura que sustentan el ciberespacio, apoya a las empresas cibernéticas del Reino Unido tanto para crecer a nivel nacional como para competir internacionalmente, intensifica la acción internacional para dar forma e influir en el futuro del ciberespacio e integra el ciberespacio ofensivo como una palanca de poder”.

Recomendamos: Estados Unidos es la única potencia cibernética en el mundo: IISS

Stephen Barclay, ministro de la Oficina del Gabinete, señala que la estrategia se basa en dos objetivos principales: primero, fortalecer la posición del Reino Unido en tecnologías que son críticas para la cibernética; segundo, limitar la dependencia de proveedores individuales o tecnologías que se desarrollan bajo regímenes que no comparten nuestros valores.

La estrategia presentada hoy se compone de cinco pilares:

• Pilar 1: Fortalecimiento del ecosistema cibernético, con inversión en talento y habilidades y profundizando la asociación entre el gobierno, el mundo académico y la industria.

• Pilar 2: Construir un Reino Unido digital resistente y próspero, reduciendo los riesgos cibernéticos para que las empresas puedan maximizar los beneficios económicos de la tecnología digital y los ciudadanos estén más seguros en línea y confiados en que sus datos están protegidos.

• Pilar 3: Tomar la iniciativa en las tecnologías vitales para el poder cibernético, desarrollar capacidad industrial y desarrollar marcos para asegurar tecnologías futuras.

• Pilar 4: Promover el liderazgo y la influencia global del Reino Unido para un orden internacional más seguro, próspero y abierto, trabajando con socios gubernamentales y de la industria.

• Pilar 5: Detectar, interrumpir y disuadir a los adversarios para mejorar la seguridad del Reino Unido en y a través del ciberespacio, haciendo un uso más integrado, creativo y rutinario del espectro completo de palancas del Reino Unido.

Los planes para mejorar la ciberdefensa de la nación incluyen la implementación de la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones anunciada recientemente, que impone estándares mínimos de seguridad a los fabricantes de dispositivos inteligentes, guías para dispositivos conectados empresariales, además de la transición a un nuevo sistema más flexible y seguro de la red eléctrica.

La nueva estrategia señala también que habrá una expansión de las capacidades de investigación del Centro Nacional de Ciberseguridad (NCSC, por sus siglas en inglés), con enfoque en tecnologías emergentes en áreas como lugares conectados y transporte.

Adicionalmente, hay un fuerte énfasis en la promoción de medidas ofensivas en la política para equipar mejor a los militares y la policía para luchar contra los actores de amenazas cibernéticas. Para ello, se incrementará la financiación para la Fuerza Cibernética Nacional recientemente establecida en el Reino Unido y para la aplicación de la ley para ayudar a interrumpir y atacar a los grupos de delitos cibernéticos.

“El delito cibernético arruina vidas y facilita más delitos como el fraude, el acecho y el abuso doméstico. Cada año se pierden miles de millones de libras a causa de los ciberdelincuentes que roban o retienen datos personales para pedir rescate y que interrumpen servicios públicos clave o sectores vitales de la economía nacional”, señala la Ministra del Interior, Priti Patel.

“Esta estrategia mejorará significativamente la respuesta del gobierno a la amenaza en constante cambio del delito cibernético y fortalecerá la respuesta de las fuerzas del orden público en asociación con NCSC y la Fuerza Cibernética Nacional”, agrega.

Un aspecto importante de la política es fomentar el crecimiento del talento alrededor de la ciberseguridad, lo que incluye el establecimiento de estándares profesionales y caminos hacia y a través de una carrera cibernética, respaldado por la Carta Real a través del Consejo de Seguridad Cibernética y con base en el Cuerpo de Conocimientos de Seguridad Cibernética (CyBOK) líder en el mundo.

También se seguirá apoyando a las empresas cibernéticas a través de programas como el esquema Cyber ​​Runway.

La estrategia está respaldada por una inversión de 2.6 mil millones para los próximos tres años, lo que incluye 114 millones de libras para incrementar el Programa Nacional de Ciberseguridad, además de asistencia técnica para otros países a través del Fondo de Conflicto, Estabilidad y Seguridad.

El nuevo reporte sobre ciberseguridad del Reino Unido destaca los avances realizados por Huawei para asegurar que su equipo de telecomunicaciones cumpla con los estándares requeridos y no represente un riesgo para las redes del país. Sin embargo, también señala que aún existen elementos que deben ser cubiertos por la compañía para cumplir con la calidad esperada.

El informe emitido por el Centro de Evaluación de Ciberseguridad de Huawei (HCSEC, por sus siglas en inglés) señala que su labor ha cumplido con los requerimientos hechos por el Centro de Ciberseguridad Nacional (NCSC) y continúa aportando “experiencia de clase mundial” en el análisis del equipo de telecomunicaciones del fabricante, pese a los retos presentados por la pandemia de Covid-19 y las medidas de restricción impuestas en contra de Huawei por parte del gobierno estadounidense.

Según el reporte, a lo largo de 2020, el HCSEC cumplió con sus obligaciones como la provisión de ingeniería de software y artefactos de garantía de seguridad cibernética al NCSC y a los operadores del Reino Unido.

En ese sentido, el informe destaca la colaboración de Huawei para avanzar en la corrección de fallas encontradas en reportes anteriores, así como contribuir a la propia independencia del centro y la evaluación realizada.

Recomendamos: Huawei crea centro global de ciberseguridad y transparencia

Entre algunos de los defectos encontrados anteriormente y que han sido resueltos por Huawei, se encuentran casos como la rectificación de los tableros que contienen un componente de soporte antiguo y poco convencional, y un progreso en la equivalencia binaria, el problema de acceso fijo y la gestión de vulnerabilidades de acuerdo con las expectativas.

No obstante, el centro de evaluación también considera que pese a los avances, el progreso es insuficiente para cumplir plenamente con las exigencias de calidad impuestas por el NCSC.

“Consciente del impacto de la Covid-19, el trabajo del HCSEC continúa descubriendo problemas que indican que no ha habido una mejora general en el transcurso de 2020 para cumplir con la ingeniería de software del producto y la calidad de seguridad cibernética esperada por el NCSC”, señala el reporte.

El HCSEC fue establecido desde 2010 como parte de un acuerdo entre Huawei y el gobierno del Reino Unido para evaluar y mitigar los riesgos de la operación de equipos de la compañía en las redes de telecomunicaciones. La mesa de dirección del centro está presidida por el NCSC, con un asiento para Huawei y con la participación de otros representantes del gobierno y del mercado de telecomunicaciones.

Te puede interesar: Core 5G de Huawei pasa las pruebas de garantía de seguridad de 3GPP y GSMA

Por otro lado, el reporte también advierte de cambios previstos en el sector que pudieran alterar el trabajo realizado por el centro, tales como una nueva ley de telecomunicaciones o las medidas de restricción comercial impuestas por el gobierno de Estados Unidos.

Actualmente, el gobierno del Reino Unido se encuentra en medio de la evaluación de una nueva ley de telecomunicaciones que le permitiría establecer un marco de seguridad, con nuevos estándares para mitigar y responder a posibles riesgos relacionados a la operación de equipo y dispositivos de telecomunicaciones.

Al respecto, el Centro confía en que la nueva ley permita establecer un marco regulatorio más efectivo para la administración de riesgos. En ese sentido, “el NCSC espera poder proporcionar una garantía técnica mejorada en la gestión de riesgos de seguridad de los equipos de Huawei en las redes del Reino Unido”.

Adicionalmente, el Centro espera también que pese a la incertidumbre alrededor de la versión final de la ley, el NCSC pueda mantener su poder de decisión independiente y discrecional sobre los productos que deban ser analizados por el HCSEC, posición que es apoyada por Huawei.

Según una investigación realizada por el Comité de Defensa del Parlamento del Reino Unido, existe una “clara evidencia de colusión” entre Huawei y el aparato del Partido Comunista Chino.

En el informe, los parlamentarios sugieren que los equipos de la compañía asiática podrían ser retirados de las redes de telecomunicaciones del país antes de lo planeado originalmente.

En julio, el gobierno inglés anunció que el proveedor se eliminará por completo de las redes 5G del Reino Unido para fines de 2027. La decisión fue tomada siguiendo los consejos producidos por el Centro Nacional de Seguridad Cibernética (NCSC) sobre el impacto de las sanciones estadounidenses contra la compañía.

El nuevo informe de los legisladores dice que el cronograma de 2027 es “sensato”, pero uno con fecha a 2025 podría considerarse en circunstancias específicas. “Si continúa la presión de los aliados para una remoción más rápida o si las amenazas de China y la posición global cambian de manera tan significativa para justificarlo, el Gobierno debería considerar si una remoción para 2025 es factible y económicamente viable”, dijeron los legisladores.

La investigación, iniciada en marzo, basó sus hallazgos en el testimonio de académicos, expertos en seguridad cibernética y conocedores de la industria de las telecomunicaciones, entre otros.

El documento afirma que Occidente no debería “sucumbir a la histeria anti-China mal informada”, pero sugiere que algunos cambios de política pueden ser necesarios. Por ejemplo, recomienda que el próximo Proyecto de Ley de Inversiones y Seguridad Nacional otorgue a los ministros el poder de prohibir las inversiones que consideren riesgosas.

Huawei contestó diciendo que el informe “carece de credibilidad, ya que se basa en opiniones más que en hechos”. Agregó: “Estamos seguros de que la gente verá a través de estas infundadas acusaciones de colusión y, en cambio, recordará lo que Huawei ha brindado a Gran Bretaña durante los últimos 20 años”, dijo un portavoz citado por CNBC.

La presión estadounidense para que sus aliados prohíban a Huawei tuvo una nueva victoria. Finalmente, el gobierno inglés anunció que el proveedor chino se eliminará por completo de las redes 5G del Reino Unido para fines de 2027. La decisión fue tomada siguiendo los nuevos consejos producidos por el Centro Nacional de Seguridad Cibernética (NCSC) sobre el impacto de las sanciones estadounidenses contra la compañía.

Además, se impondrá una prohibición total de compra de cualquier kit 5G a Huawei después del 31 de diciembre de 2020. “Tras las sanciones de Estados Unidos contra Huawei y el asesoramiento técnico actualizado de nuestros expertos en cibernética, el gobierno ha decidido que es necesario prohibir a Huawei de nuestras redes 5G”, afirmó el Secretario Digital, Oliver Dowden.

De todas formas, aún hay una luz de esperanza para Huawei, ya que la compañía estaba buscando un acuerdo con el Reino Unido para que la eliminación del fabricante en las redes 5G sea por lo menos después de las elecciones de 2025. Ahora tendrá dos años más de gracia para revertir la prohibición. Aunque, Dowden aseguró que antes de las próximas elecciones “habremos implementado por ley un camino irreversible para la eliminación completa del equipo Huawei de nuestras redes 5G”.

La decisión tomada este martes en la reunión del Consejo de Seguridad Nacional, presidida por el Primer Ministro Boris Johnson, fue en respuesta a las nuevas sanciones que impuso Estados Unidos. En enero pasado, el Reino Unido ya había limitado la participación de Huawei en las redes, pero las nuevas normas estadounidenses (que eliminaron el acceso a la empresa a los productos de semiconductores norteamericanos) hicieron que el país se replanteara las medidas.

Los expertos técnicos de la NCSC concluyeron que la compañía necesitará realizar una reconfiguración importante de su cadena de suministro, debido a que ya no tendrá acceso a la tecnología en la que se basa actualmente y no hay alternativas que tengan suficiente confianza.

“La acción de Estados Unidos también afecta los productos de Huawei utilizados en las redes de banda ancha de fibra completa del Reino Unido. Sin embargo, el Reino Unido ha gestionado la presencia de Huawei en las redes de acceso fijo desde 2005 y también debemos evitar una situación en la que los operadores de banda ancha dependan de un único proveedor para sus equipos. Como resultado, siguiendo los consejos de seguridad de nuestros expertos líderes mundiales, estamos aconsejando a los operadores de fibra completa que abandonen la compra de nuevos equipos Huawei”, sostuvo el gobierno inglés en un comunicado.

El costo para el Reino Unido de reemplazar a Huawei en 5G va más allá de lo económico, el verdadero costo para el país europeo sería un atraso irreparable en el despliegue y liderazgo para 5G. De hecho, el secretario Oliver Dowden reconoció que esta decisión “retrasará el nuevo lanzamiento 5G”.

“La decisión de hoy de prohibir la adquisición de nuevos equipos Huawei 5G a fines de este año retrasará la implementación por un año más y sumará hasta 500 millones de libras a los costos. Además, exigir a los operadores que eliminen los equipos Huawei de sus redes 5G para 2027 agregará cientos de millones al costo y un mayor retraso en el despliegue. Esto significa una demora acumulada para el despliegue de 5G de dos a tres años y costos de hasta 2 mil millones de libras”, afirmó el funcionario.

En un comunicado, Huawei calificó la medida como “decepcionante”, porque es “una mala noticia para cualquier persona del Reino Unido con un teléfono móvil”. Agregó que la decisión “amenaza con trasladar a Gran Bretaña a la línea digital lenta, aumentar las facturas y profundizar la brecha digital”.