Reflexiones sobre Mi Visita a Huawei en Shenzhen

Paul Fervoy

CEO, Siftia | Vicepresidente ALETI | Docente, ULEAD

paul@miweb.cr

A principios de este año, concluí mi mandato como Presidente de Cámara de Tecnologías de Información y Comunicación, habiendo navegado numerosos desafíos y oportunidades dentro de la industria tecnológica de Costa Rica, ninguno más controvertido que la respuesta de la industria al Decreto Ejecutivo para prohibir a los proveedores de infraestructura 5G de países que no son signatarios del Convenio de Budapest sobre Cibercrimen. Recientemente, tuve la oportunidad de visitar las instalaciones de Huawei en Shenzhen como parte de una invitación al evento “COMPASS” de Huawei, enfocado en mostrar los casos de uso de los servicios en la nube de Huawei tal como están siendo implementados por gobiernos y corporaciones en los mercados de América Latina. Dadas las tensiones geopolíticas y las decisiones cruciales que enfrenta Costa Rica con respecto a la infraestructura 5G, sentí que era importante compartir mis reflexiones sobre esta visita y el tema más amplio de la seguridad tecnológica. Aunque reconozco la sensibilidad y complejidad de estos temas, busco proporcionar una perspectiva objetiva basada en mis experiencias e interacciones.

Descargo de responsabilidad: Aunque mi visita a Huawei fue facilitada por su invitación, he procurado mantener una perspectiva objetiva y proporcionar un análisis equilibrado basado tanto en observaciones de primera mano como en estándares industriales más amplios.

La Visita a Huawei

Durante mi visita a Huawei en Shenzhen, me impresionó la escala y sofisticación de sus instalaciones. Las innovaciones en exhibición destacaron el compromiso de Huawei con el avance tecnológico. Tuve la oportunidad de interactuar con miembros de su equipo de ciberseguridad, lo que incluyó una conversación franca y abierta con Brian Chamberlin, Asesor Ejecutivo de Marketing para Operadores en Huawei Technologies. Este equipo diverso subrayó el alcance global de Huawei y sus esfuerzos de colaboración en la industria tecnológica. Es importante señalar que mis observaciones forman parte de un esfuerzo más amplio para recopilar información de primera mano y deben considerarse junto con otras perspectivas y evidencias.

Perspectivas sobre la Ciberseguridad

Antes de mi viaje, tuve una conversación perspicaz con un ingeniero de telecomunicaciones y experto en estándares de los EE.UU. que coincidió en visitar Costa Rica. Discutimos el Decreto Ejecutivo de Costa Rica que restringe la tecnología 5G de Huawei, y mencionó su experiencia liderando grupos de trabajo en la organización de estándares 3GPP. Señaló: "Todavía los veo [a Huawei] en los estándares internacionales de 3GPP a menudo y hoy en día (usualmente) hacen contribuciones de calidad. En realidad, han sido innovadores estos últimos años."

Durante mi visita a Huawei, le pregunté a Brian Chamberlin: "Actualmente, ¿qué estándares y auditorías de terceros permiten a Huawei refutar argumentos como los de Costa Rica de que Huawei no puede ser utilizado de manera segura en el núcleo de telecomunicaciones?" Explicó que varios estándares internacionales y auditorías de terceros son cruciales para garantizar la seguridad y protección de las operaciones de telecomunicaciones:

NESAS de GSMA (Esquema de Aseguramiento de Seguridad de Equipos de Red): Este es un marco de aseguramiento de seguridad definido conjuntamente por GSMA y 3GPP para facilitar mejoras en los niveles de seguridad en toda la industria móvil. Proporciona un marco de aseguramiento de seguridad a nivel industrial para garantizar que los equipos de red cumplan con los requisitos de seguridad.

Estándar Common Criteria (CC), también conocido como ISO/IEC 15408: Este estándar internacional para la certificación de seguridad informática es reconocido a nivel mundial y proporciona un marco para evaluar las propiedades de seguridad de los productos de TI. Las soluciones 5G de Huawei han recibido una calificación de EAL4+ bajo este estándar, que es la calificación más alta posible para este tipo de producto. Esta calificación significa que el producto ha sido diseñado, probado y revisado metódicamente con los más altos estándares.

Estos estándares y certificaciones están diseñados para asegurar que el equipo de telecomunicaciones sea evaluado exhaustivamente en busca de vulnerabilidades de seguridad y resiliencia contra ataques. Al adherirse a estos estándares, Huawei demuestra su compromiso con el mantenimiento de altos niveles de seguridad y protección en sus productos.

El asesor ejecutivo de Huawei luego abordó los motivos por los que los detractores afirman que la tecnología no es segura. Señaló: "Alegan que es teóricamente posible que Huawei apague remotamente una red o instale spyware. Aunque proporcionamos a socios de confianza acceso a nuestro código fuente para mostrar que no existe tal capacidad, la afirmación es que es algo que podríamos hacer en el futuro." Esto destaca un desafío fundamental: la naturaleza hipotética de las preocupaciones de seguridad, que teóricamente podría aplicarse a cualquier proveedor de tecnología. Es importante reconocer que, aunque los estándares y certificaciones mitigan significativamente los riesgos, ningún sistema puede considerarse completamente inmune a amenazas potenciales futuras.

Adoptando el Modelo de Confianza Cero

Brian elaboró más: "Lo importante para los operadores es rechazar esta noción de 'proveedores de confianza' y adoptar un modelo de confianza cero. Todas las actualizaciones deben ser probadas minuciosamente. Muchas empresas se resisten a esto porque esas pruebas son costosas, pero son muy importantes para construir una red segura."

El modelo de confianza cero es un concepto de seguridad que asume que ninguna entidad, dentro o fuera de la red, es inherentemente confiable. En cambio, cada intento de acceder a la red debe ser verificado antes de otorgar acceso. Este enfoque contrasta con los modelos de seguridad tradicionales que a menudo se basan en defensas perimetrales y asumen que cualquier cosa dentro de la red es segura.

Adoptar un modelo de confianza cero implica varios principios clave:

Verificación: Cada solicitud de acceso es autenticada, autorizada y encriptada antes de otorgar el acceso.

Menor Privilegio: El acceso se otorga solo a los recursos necesarios para el rol de un usuario, minimizando los vectores de ataque potenciales.

Monitoreo Continuo: Monitoreo y análisis regular de todo el tráfico de la red para detectar y responder a amenazas en tiempo real.

Al implementar estos principios, las organizaciones pueden mitigar los riesgos asociados con las posibles vulnerabilidades en la tecnología de cualquier proveedor, incluida la de Huawei. Este enfoque asegura que la seguridad se mantenga a través de pruebas rigurosas y monitoreo continuo, independientemente del proveedor. Aunque este modelo puede ser intensivo en recursos, los beneficios de una mayor seguridad y resiliencia hacen que valga la pena la inversión.

El Contexto Geopolítico

Las presiones geopolíticas que rodean la infraestructura 5G son significativas, particularmente en la dinámica entre EE.UU. y China. Los comentarios de Brian Chamberlin durante mi visita a Huawei reforzaron la importancia de adherirse a estándares internacionales y protocolos de pruebas rigurosas. La noción de que cualquier proveedor podría introducir potencialmente vulnerabilidades en futuras actualizaciones es un recordatorio de la necesidad de medidas de seguridad integrales en toda la industria. También es esencial considerar estas medidas de seguridad dentro del contexto más amplio de las influencias geopolíticas, reconociendo que los criterios objetivos y basados en evidencia son fundamentales para tomar decisiones acertadas.

Mi visita a Huawei proporcionó valiosas perspectivas sobre sus prácticas de ciberseguridad y los temas más amplios de seguridad y estándares en la industria tecnológica. Es claro que los estándares técnicos y las pruebas rigurosas son esenciales para garantizar la seguridad de la infraestructura 5G. Mientras navegamos por el complejo panorama de influencias geopolíticas y avances tecnológicos, es crucial basar nuestras decisiones en criterios objetivos y basados en evidencia y fomentar un enfoque colaborativo para construir redes seguras y resilientes. Aunque mis reflexiones están informadas por mis experiencias, aliento un diálogo y una evaluación continuos para mejorar continuamente nuestra comprensión y prácticas en este campo crítico.