A finales de los años 80 del siglo pasado aparecieron los primeros teléfonos móviles comerciales. Si los recuerdan, eran terminales voluminosos y difíciles de transportar, cuyo uso se limitaba a realizar o recibir llamadas, con bastante mala señal, todo hay que decirlo.
Años después llegó la telefonía 2G, que convirtió la señal analógica en digital, con una evidente mejora en la calidad y fiabilidad del servicio.
Con la 3G se abrió la puerta a la transmisión de voz y datos (SMS, correo electrónico y descarga de programas).
La 4G multiplicó el uso de smartphones y el intercambio de datos con velocidades de acceso superiores a 100 Mbit/s en movimiento y 1 Gbit/s en reposo, lo que impulsó la economía digital.
Las redes evolucionan y llega la quinta generación o 5G, que ofrece bajas latencias, capacidad masiva de conexión y velocidades ultrarrápidas que impulsan el Internet de las Cosas, la medicina remota, el transporte inteligente, la industria 4.0 y la energía.
Regulación del 5G
Para garantizar el funcionamiento y la seguridad de las redes y servicios 5G, el gobierno aprobó el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, que se da a conocer como «Ley de Ciberseguridad 5G». Posteriormente, fue modificada por el Real Decreto-ley 6/2023, de 19 de diciembre, y desarrollada reglamentariamente por el Real Decreto 443/2024, de 30 de abril, que aprueba el Esquema Nacional de Seguridad de redes y servicios 5G (ENS5G), en vigor desde el 2 de mayo de 2024.
La norma reconoce que el 5G presenta riesgos específicos derivados de su arquitectura de red más compleja, abierta, virtualizada y desagregada. Su interconexión con otras redes y el carácter transnacional de las amenazas inciden en su seguridad. Además, su uso masivo en servicios críticos para la economía y la sociedad incrementará el impacto causado por las brechas de seguridad.
A continuación, les resumo las previsiones contenidas en la nueva normativa:
a) Análisis de riesgos
Los operadores encargados de desplegar y explotar las redes 5G (Movistar, Vodafone y MásMóvil) están obligados a realizar un análisis de riesgos de las redes y servicios 5G. El objetivo es detectar vulnerabilidades y amenazas asociadas a los elementos de red, infraestructuras y recursos destinados al despliegue y la explotación de dichas redes y servicios.
Los elementos críticos, factores y parámetros a tener en cuenta en la evaluación de riesgos se detallan en el artículo 6 de la norma.
Los operadores deberán recabar de sus proveedores las prácticas y medidas de seguridad adoptadas en los productos y servicios suministrados, teniendo en cuenta los factores de riesgo identificados en el Esquema Nacional de Seguridad de redes y servicios 5G, así como el perfil de riesgo del proveedor. El tratamiento de esta información será confidencial.
Los proveedores, es decir, los fabricantes, importadores y distribuidores de equipos de telecomunicaciones, hardware y software, así como los prestadores de servicios auxiliares que intervienen en el funcionamiento de las redes 5G o en la prestación de servicios deberán analizar los riesgos asociados a dichos equipos y servicios auxiliares. La norma no especifica la periodicidad ni las circunstancias exactas para realizar estos análisis.
Los proveedores deberán comunicar los análisis de riesgos de sus equipos, productos o servicios vinculados a redes y servicios 5G al Ministerio para la Transformación Digital, la Administración Pública y la Función Pública, cuando sean requeridos para ello. En caso de que se califiquen como de alto riesgo o riesgo medio, deberán remitirlos en un plazo máximo de seis meses desde la calificación. Estos análisis se realizarán cada dos años y se remitirán al Ministerio mencionado.
Por último, los usuarios corporativos, es decir, aquellos que tengan otorgados derechos de uso del dominio público radioeléctrico para la instalación, despliegue y explotación de una red privada 5G o para prestar servicios 5G con fines profesionales o en autoprestación deberán analizar los riesgos de sus redes y servicios, aportándolos al Ministerio para la Transformación Digital, la Administración Pública y la Función Pública cuando sean requeridos.
En definitiva, los proveedores y suministradores de alto riesgo y riesgo medio serán los que queden bajo mayor escrutinio del supervisor, otorgando cierto grado de confianza al resto.
b) Gestión de los riesgos
Los proveedores, suministradores y usuarios corporativos deberán adoptar las medidas técnicas y organizativas necesarias para mitigar los riesgos identificados, en cumplimiento de la normativa y del Esquema Nacional de Seguridad de redes y servicios 5G.
El artículo 12 describe las obligaciones de seguridad dirigidas a mitigar riesgos por parte de los operadores. Los artículos 13 y 14 establecen las obligaciones impuestas a los proveedores de alto riesgo y de riesgo medio, respectivamente. El artículo 15 recoge las obligaciones impuestas a los usuarios corporativos.
La norma establece, en su artículo 17.2, que las Administraciones públicas no podrán utilizar, por razones de seguridad nacional, equipos, productos o servicios proporcionados por proveedores de alto riesgo y de riesgo medio. A tal efecto, el Gobierno elaborará, en un plazo de cuatro meses desde la entrada en vigor de la norma, una lista de dichos suministradores (a diciembre de 2025, no consta publicada).
c) Esquema Nacional de Seguridad de redes y servicios 5G
El gobierno mediante el Real Decreto 443/2024 aprobó el Esquema Nacional de Seguridad de redes y servicios 5G, que establece los criterios, requisitos, medidas de mitigación, certificaciones y plazos para el cumplimiento de obligaciones. Dicho Esquema será revisado cada cuatro años o cuando las circunstancias lo aconsejen.
Incluye requisitos para fabricación, importación y comercialización de equipos 5G, protección de datos y privacidad, líneas de ayudas públicas para I+D+I y formación en ciberseguridad 5G.
d) Estrategia de diversificación de los suministradores
Los operadores de redes públicas 5G deben controlar su cadena de suministro y elaborar y remitir al Ministerio una estrategia de diversificación para evitar dependencia de un único proveedor o de proveedores de alto riesgo.
El ENS5G fijó el 1 de octubre de 2024 como fecha clave para su presentación y exige, como mínimo, dos suministradores distintos en la red de acceso radio (salvo excepciones de grupo empresarial).
e) Facultades de inspección
El Ministerio para la Transformación Digital y de la Función Pública ejercerá las potestades de la función inspectora previstas en el Título VIII de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
f) Régimen sancionador
Será de aplicación el régimen sancionador establecido en el Título VIII de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, sin perjuicio de lo previsto en el artículo 30 de la norma. El ejercicio de la potestad sancionadora se atribuye a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
g) Entrada en vigor
La norma entró en vigor el 31 de marzo de 2022 (obligaciones de los arts. 12, 13, 15, 16 y 17 el 30 de abril de 2022). El ENS5G entró en vigor el 2 de mayo de 2024.
