El Gobierno da largas a la lista negra de proveedores de 5G para evitar un choque con China

Nueve meses despu¨¦s de su entrada en vigor, todav¨ªa no se ha puesto en pr¨¢ctica el n¨²cleo central de la ley de ciberseguridad de la red 5G. Para que se aplique, seg¨²n fuentes del sector, hace falta que se apruebe la lista de proveedores de alto riesgo a los que se excluir¨¢ de las partes m¨¢s sensibles de las redes de comunicaci¨®n de quinta generaci¨®n; y, adem¨¢s, el listado de ubicaciones en las que, por su vinculaci¨®n con la seguridad nacional o con infraestructuras de car¨¢cter estrat¨¦gico, no puede instalarse ning¨²n componente de dichos proveedores. La primera decisi¨®n corresponde al Consejo de Ministros; y la segunda, al Consejo de Seguridad Nacional. La ley de ciberseguridad, que entr¨® en vigor el 31 de marzo, daba un plazo de tres meses para adoptar ambas decisiones: hasta el 30 de junio. Sin embargo, a¨²n no hay fecha para su aprobaci¨®n, reconocen fuentes gubernamentales. Tampoco para el primer Esquema Nacional de Seguridad y Servicios 5G, un an¨¢lisis de los riesgos y las medidas para mitigarlos, que deb¨ªa estar listo en el doble de tiempo, seis meses, ya sobrepasados.

En el Ministerio de Asuntos Econ¨®micos y Transformaci¨®n Digital, competente en la materia, alegan que no existe tal retraso, pues, en el calendario legislativo inicial, la ley de ciberseguridad 5G estaba prevista para finales de 2022. Pero fue el propio Gobierno el que decidi¨® aprobar la norma por decreto-ley, y no mediante un proyecto de ley, de tramitaci¨®n m¨¢s lenta, apelando a la ¡°extraordinaria y urgente necesidad¡± derivada de la invasi¨®n de Ucrania, el 28 de febrero, y del ¡°elevado riesgo de ciberataques contra redes y servicios 5G ya desplegados en nuestro pa¨ªs o con despliegue previsto en los pr¨®ximos meses¡±. Seg¨²n el pre¨¢mbulo de la norma, el recurso al decreto-ley garantizaba ¡°la entrada en vigor con celeridad de aquellas medidas que permitan prohibir o limitar la actividad en el mercado de suministradores que hayan sido considerados de alto riesgo o riesgo medio por el Gobierno, en base a criterios t¨¦cnicos y aspectos estrat¨¦gicos¡±. La celeridad, sin embargo, desapareci¨® cuando la norma se public¨® en el BOE.

Presiones de EE UU

Fuentes gubernamentales admiten que la premura en aprobar la ley coincidi¨® con las renovadas presiones de Washington, que viene reclamando desde hace a?os a los pa¨ªses europeos que den ese paso, mientras que la actual demora responde a la necesidad de ganar tiempo para evitar un choque diplom¨¢tico con China y minimizar el coste para los operadores de telefon¨ªa (Telef¨®nica, Orange y Vodafone, fundamentalmente) que deben desprenderse de los componentes de origen chino. Aunque la ley no los cita expresamente, todos los interlocutores de EL PA?S dan por hecho que la lista negra incluir¨¢ a los dos gigantes del pa¨ªs asi¨¢tico: Huawei y ZTE.

El art¨ªculo 14 de la ley de ciberseguridad 5G se?ala que, m¨¢s all¨¢ de las certificaciones t¨¦cnicas y auditor¨ªas de seguridad de los equipos, a la hora de vetar a un suministrador se tendr¨¢n en cuenta sus v¨ªnculos con gobiernos extranjeros, su capital social y ¨®rganos de direcci¨®n, la legislaci¨®n sobre ciberdefensa o protecci¨®n de datos y el respeto al derecho internacional en su pa¨ªs de origen; as¨ª como ¡°el poder de un tercer Estado para ejercer presi¨®n¡± sobre la compa?¨ªa. ¡°Verde y con asas¡±, se?alan fuentes del sector. Aunque Huawei alega que es propiedad de sus empleados y no del Estado, la Ley de Inteligencia Nacional china de 2017 obliga a todas sus empresas a ¡°apoyar, cooperar y colaborar¡± con los servicios de espionaje; lo que muchos interpretan, aunque Huawei lo niegue, como un permiso de acceso por la puerta trasera.

Fuentes del Ministerio de Econom¨ªa admiten que el veto no puede ce?irse a productos concretos pues, aunque se verifique que uno no est¨¢ hackeado, eso no garantiza que no pueda estarlo otro del mismo modelo; ni tampoco al software, pues este se actualiza permanentemente y, por lo tanto, la lista se basar¨¢ tambi¨¦n en los ¡°riesgos estrat¨¦gicos¡± y niveles de ¡°exposici¨®n a injerencias extranjeras¡± asociados a la empresa suministradora.

Para evitar el choque frontal con China, se baraja la posibilidad de que el acuerdo con la lista de compa?¨ªas vetadas sea clasificado como secreto, pero la ley obliga a dar audiencia previa, por un plazo 15 d¨ªas, a los operadores y suministradores afectados y el acuerdo del Consejo de Ministros, una vez aprobado, puede ser recurrido ante los tribunales, por lo que se acabar¨¢ conociendo.

La dependencia de la tecnolog¨ªa china es una preocupaci¨®n compartida en Europa. La UE aprob¨® en 2020 la llamada ¡°caja de herramientas de seguridad 5G¡±, un conjunto de medidas destinadas a mitigar los riesgos asociados a esta tecnolog¨ªa, pero dejaba en manos de los gobiernos la adopci¨®n de las m¨¢s dr¨¢sticas. Mientras el Reino Unido, siguiendo la directriz de Washington, limit¨® el acceso de Huawei a su red 5G (aunque con un largo periodo de transici¨®n hasta 2027) y Suecia la ha excluido pese a las represalias de Pek¨ªn contra Ericsson, otros pa¨ªses intentan sortear el conflicto. En noviembre pasado, Margrethe Vestager, vicepresidenta de la Comisi¨®n Europea a cargo de los temas digitales, inst¨® a los gobiernos a actuar con urgencia, criticando el retraso de Alemania, ¡°pero no solo de Alemania¡±. Y apostill¨®: ¡°Algunos pa¨ªses han aprobado ya legislaciones. Ser¨ªa incluso mejor si las pusieran en pr¨¢ctica¡±.

A¨²n no est¨¢ claro si la lista negra de suministradores ser¨¢ secreta, pero s¨ª lo ser¨¢ la relaci¨®n de ubicaciones en cuyas redes de acceso estar¨¢ vetado el uso de equipos y componentes de empresas de alto riesgo, como centrales nucleares, centros de inter¨¦s para la defensa y la seguridad nacional o infraestructuras estrat¨¦gicas. La amplitud de este listado determinar¨¢ el alcance del veto a las compa?¨ªas chinas, aunque el actual borrador ¡ªpactado entre los ministerios de Econom¨ªa, Defensa e Interior¡ª apunta a una relaci¨®n larga, pero ce?ida estrictamente a las instalaciones, y no a las ¡°zonas geogr¨¢ficas¡± donde estas se ubican, como la ciudad de Madrid. Adem¨¢s de vetarlos en los sistemas de las administraciones p¨²blicas, habr¨¢ que determinar con mayor precisi¨®n cu¨¢les son los ¡°elementos cr¨ªticos¡± de las redes 5G donde estar¨¢ prohibido usar componentes de alto riesgo, pues la ley solo alude a su ¡°n¨²cleo¡± (core, en ingl¨¦s) y a ¡°los sistemas de control y gesti¨®n y los servicios de apoyo¡±.

Pero la gran batalla est¨¢ en los plazos de los que dispondr¨¢n las operadoras para desprenderse de componentes chinos, ya que la red 5G aprovecha buena parte de la infraestructura 4G y, seg¨²n diversos estudios, en torno al 40% de los actualmente instalados tienen ese origen. No es sorprendente teniendo en cuenta que Telef¨®nica ten¨ªa una alianza estrat¨¦gica con China Unicom, con la que lleg¨® a intercambiar un paquete accionarial, y que en noviembre de 2018, con motivo de la visita a Espa?a del presidente chino, Xi Jinping, La Moncloa apadrin¨® un acuerdo de la compa?¨ªa espa?ola con Huawei para el desarrollo de la red 5G, especialmente en Latinoam¨¦rica. Fuentes gubernamentales sostienen que, pese a estos precedentes, Telef¨®nica se ha adelantado a otras operadoras a la hora de planificar la sustituci¨®n de estos equipos. Orange, por su parte, no usa componentes de Huawei para su red de 5G en Francia, pero s¨ª en otros pa¨ªses.

El acuerdo del Consejo de Ministros que apruebe el listado de suministradores vetados fijar¨¢ tambi¨¦n el plazo para sustituir sus componentes atendiendo, entre otros factores, a la dificultad del proceso y a su ¡°impacto econ¨®mico¡±. El objetivo, seg¨²n fuentes gubernamentales, es que el coste para las compa?¨ªas sea el m¨¢s bajo posible, teniendo en cuenta que la r¨¢pida obsolescencia tecnol¨®gica de estos equipos obliga a sustituirlos cada pocos a?os. ¡°No se trata de que los cambien ahora, sino de que busquen otro suministrador, aunque resulte m¨¢s caro, cuando haya que cambiarlos¡±, explican las mismas fuentes. La ley ya prev¨¦ que, en caso de que las operadoras tengan que retirar componentes de empresas de alto riesgo, dispondr¨¢n de un plazo de entre dos y cinco a?os para hacerlo, a partir del momento en que se apruebe el acuerdo del Consejo de Ministros. Y este acumula ya seis meses de retraso.