La posibilidad de que Huawei sea considerado un proveedor de alto riesgo y que los operadores no puedan utilizar su equipamiento en las partes críticas de las redes 5G sigue siendo la principal incógnita que rodea a la nueva Ley de Ciberseguridad 5G aprobada por el Gobierno a finales del mes de marzo. 

Antes de finales de junio se conocerá previsiblemente la decisión del Consejo de Ministros sobre el nivel de riesgo (bajo, medio o alto) de cada proveedor, que se analizará teniendo en cuenta tanto motivos técnicos como la vinculación de los proveedores con terceros países.

Desde Huawei aseguran que llegan a este nivel de análisis "con los deberes hechos", pero también son conscientes de que el Real Decreto ofrece un "marco muy general" y sin mucho detalle sobre cómo se va a estructurar ese análisis o cuáles son las partes de la red que se consideran críticas.

Así lo ha señalado Gonzalo Erro, director de Ciberseguridad de Huawei España, en una visita al Centro de Ciberseguridad de Bruselas de la compañía por parte de un grupo de medios españoles, entre los que se encontraba EL ESPAÑOL-Invertia. 

En este encuentro, Erro ha asegurado que apoyan el que haya una regulación en España con el objetivo de proteger e incrementar la seguridad de las redes 5G. No obstante, también quiso lanzar un mensaje al Gobierno con vistas a su aplicación: debe ser "objetiva, no discriminatoria y proporcional y promover la competitividad y la innovación en España".

El texto supone la transposición al reglamento de español de la 'caja de herramientas' de la Comisión Europea sobre la ciberseguridad de las redes 5G y está en línea con lo que que esperaba, ya que apenas hay cambios con respecto a la versión que se sometió a consulta pública en 2020.

De hecho, ha recordado que la nueva normativa de ciberseguridad 5G, aprobada de urgencia mediante el Real Decreto Ley, no es un documento propio desarrollado en España, sino que es en gran parte es una adaptación de las recomendaciones realizadas por Bruselas en este campo.

Criterios técnicos

Las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios son uno de los dos pilares en los que se basará la evaluación del nivel de los riesgos del proveedor que haga el Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y audiencia con los operadores y suministradores 5G afectados.

En este sentido, Erro ha remarcado que desde que empezaron a aplicar el actual sistema de control de seguridad de su equipamiento en 2012 en la compañía han seguido la misma estrategia de "transparencia y colaboración" en cuanto al cumplimiento de la normativa y el sometimiento a procesos de evaluación de la seguridad de sus productos.

Por ello, ha asegurado que están preparados para que su equipamiento cumpla con todos los estándares y certificaciones que se requieran en el Esquema Nacional de Seguridad de redes y servicios 5G, que se conocerá unos tres meses después de que salga la lista de proveedores. "Creemos que los deberes están hechos", ha asegurado.

A este respecto, Koen Claesen, asesor senior de ciberseguridad de Huawei, ha explicado que, antes de lanzar un producto, su nivel de seguridad es evaluado en varias ocasiones. Por ejemplo, con un análisis realizado por un profesional de la compañía, uno por el Laboratorio de Ciberseguridad Independiente (ICSL por sus siglas en inglés) de Huawei y los que sean necesarios por parte de auditores externos. 

Criterios políticos

La otra pata que decidirá el nivel de riesgo está relacionada con la exposición de la empresa a injerencias externas. Para ello, por ejemplo, se analizan los vínculos de los suministradores y de su cadena de suministro con los gobiernos de terceros países. Además, se estudia la composición de su capital social y la estructura de sus órganos de gobierno, así como el poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa, entre otros aspectos.

Claesen ha incidido en su encuentro con la empresa que Huawei "no es una compañía estatal", sino que es propiedad al 100% de 131.507 empleados, todos ellos chinos, ya no puede haber accionistas de otra nacionalidad. Esto, ha asegurado, le permite no depender ni de los gobiernos ni de las exigencias de los mercados, aunque siguen en todo momento las normas globales.

Gonzalo Erro, director de Ciberseguridad de Huawei España, en un encuentro con la prensa. Huawei

En cuanto a cómo se va a evaluar el grado de injerencia de un país en una compañía, Erro ha señalado que esa pregunta hay que hacérsela a quien se van a encargar de hacer la valoración, ya que en el decreto los criterios están sin definir y no sea concreta cómo se va a hacer.

"Se nos escapa totalmente", ha admitido el directo de Ciberseguridad de Huawei España, quien ha subrayado que la parte de análisis estratégico no depende de la compañía, sino que su evaluación se hará desde otros organismos y no tienen control sobre ella.

No obstante, ha recordado que el artículo 14 de la ley, que es el que regula todo lo relativo a los proveedores de riesgo medio y alto, está previsto para casos excepcionales. "Un mecanismo excepcional tiene que estar disponible para el Gobierno, pero su activación debería ser un escenario absolutamente excepcional", ha advertido.

Preguntado por si recurrirán a la justicia en el hipotético caso de que se les incluyera en la lista de proveedores de riesgos, Erro ha apuntado que "un acto con efectos jurídicos sería una opción a valorar".

Apoyo del sector

Por otro lado, también ha puesto de relieve que Huawei ha trabajado en España con el sector de las telecomunicaciones en la construcción de las redes de 2G, 3G y 4G. Esto demuestra que la empresa "cuenta con la confianza de todos los operadores", ya que trabajado con todos ellos, aunque con diferente grado de intensidad.

Y ha añadido estas compañías también han mostrado esa confianza a la hora de seguir colaborando con Huawei en el 5G. "Intentaremos seguir proporcionado los mejores productos y seguir pasando certificaciones", ha señalado Erro, quien ha insistido en que los operadores ya conocen sus análisis de riesgos y sus prácticas de seguridad.

Pero para ello, ha subrayado que los operadores deben poder tomar sus decisiones basándose en criterios comerciales. "Habrá elementos de la red de Huawei y otros que no, pero que esto dependa de las decisiones comerciales de los operadores", ha insistido.

Por su parte, Claesen ha señalado que cada país está adaptando las recomendaciones de Bruselas y, hasta la fecha, en muchos de ellos no existe ningún tipo de restricción a compañías concretas como Huawei.

Koen Claesen, asesor senior de ciberseguridad de Huawei, en la visita al Centro de Ciberseguridad de Bruselas. Huawei

Sin embargo, ha puesto como ejemplo el caso de Bélgica, país en el que aunque no se ha considerado a Huawei un proveedor de alto riesgo, los operadores asumieron que esto iba a ocurrir y lo excluyeron de forma preventiva de sus planes de despliegue de 5G.

Algo muy similar a lo que podría estar ocurriendo en esto momentos en España. De hecho, ninguno de los tres grandes operadores del país (Telefónica, Orange y Vodafone) ha incluido a la compañía china entres sus proveedores del núcleo ('core') de la red 5G, cuando sí está presente en las de 4G. 

Impactos de un posible veto

En este contexto, Erro ha hecho mención de un reciente estudio publicado por Oxford Economics en el que se analiza el impacto que tendría restringir a un proveedor de redes relevante del mercado en el despliegue de 5G, tanto para las operadoras como para el país.

Así, apunta que en el escenario más probable incrementaría en 292 millones de euros el coste anual de las inversiones medias de los operadores en 5G durante la próxima década, lo que supone un 19% más que si no hubiera veto.

Además, está decisión provocaría una pérdida permanente en el PIB de 3.700 millones de euros en 2035 debido a los retrasos que causaría en los despliegues y haría que cinco millones de personas vieran pospuesto su acceso a las redes de quinta generación.

En este contexto, Erro ha recordado que unos de los aspectos que recoge precisamente la ley para reducir el nivel de riesgo es evitar la dependencia de un solo proveedor. Una exigencia que es "bastante delicada" de inicio en un mercado con cuatro grandes actores, dos europeos (Ericsson y Nokia) y dos chinos (Huawei y Xiaomi).

A este respecto, Claesen ha añadido que en un mercado tan pequeño esta decisión afectaría a la competencia, lo que llevaría a una subida de los precios que pagan los operadores por el equipamiento, así como a la capacidad de innovación. "No tiene sentido", ha apostillado.