Todos conocemos las ventajas que está empezando a hacer posible la red 5G: mayor ancho de banda, menor latencia, mayor densidad de dispositivos conectados, segmentación por capacidades, etcétera. Todas estas ventajas se consiguen con la implementación de nuevos paradigmas tecnológicos que suponen, con respecto a la generación anterior, un cambio radical en la arquitectura e incluso la aparición de nuevos jugadores.
Pero, como cualquier cambio tecnológico significativo, el 5G supone la aparición de nuevos retos a la hora de abordar la seguridad. No obstante, lejos está la intención de este artículo de causar un miedo injustificado ante su despliegue, que la experiencia posterior en otros cambios tecnológicos relevantes se encarga de desmentir en muchos casos.
Nuevos retos del 5G
La intención es señalar algunas de las características del 5G que pueden tener una mayor incidencia sobre la seguridad y apuntar, a alto nivel, qué consideraciones se deben tener en cuenta para gestionarlas de forma adecuada. Estas características son, a nuestro juicio, las siguientes:
-Arquitectura basada en servicios. El 5G se construye con funciones de red implementadas mediante una arquitectura basada en servicios, los cuales se despliegan haciendo uso de contenedores. Esto permite crear y actualizar servicios de manera muy flexible, así como independizar los servicios de las características del hardware donde se despliegan. También implica que algunas cuestiones importantes para la seguridad, como la actualización del software o la gestión de contraseñas de los usuarios de interfaz, se deban tratar de manera diferente a como se hace en los sistemas tradicionales.
Además, aparecen nuevas cuestiones de seguridad que deben abordarse de forma adecuada, como son evitar el salto entre contenedores ejecutados en el mismo hardware o el salto desde el contenedor al sistema anfitrión. En este documento del NIST se explica en detalle las medidas de seguridad que deben tomarse en este tipo de entornos.
-HTTP/2. Estos servicios en los que está basado el 5G se comunican entre sí usando la versión dos del protocolo HTTP. Como es bien conocido, dicha versión supone mejoras considerables en el aprovechamiento del ancho de banda, evitando, por ejemplo, crear una conexión TCP/IP por cada petición o asignando prioridades distintas a las diferentes peticiones.
Sin embargo, la implantación de esta versión introduce nuevos vectores de ataque al protocolo HTTP, que deben tenerse en cuenta a la hora de seleccionar servidores web que los gestionen de manera adecuada. Además, HTTP/2 propicia nuevas formas de realizar ataques de desincronización, lo que es especialmente relevante en una arquitectura basada en servicios como el 5G, en la que hay que realizar comunicaciones entre diferentes servidores.
-Software Defined Networking (SDN). Las funciones de red virtualizadas se apoyan en la tecnología SDN para comunicarse entre sí de manera eficiente y flexible. La tecnología SDN posibilita ‘programar la red’, separando el plano de control, el que decide cómo enrutar, filtrar o balancear tráfico, del plano de datos, que es el responsable de mover los datos en función de las instrucciones recibidas del controlador. Como siempre, la seguridad de una nueva tecnología depende de cómo se implemente.
En el caso de SDN, su despliegue puede posibilitar mejoras significativas en la seguridad si se implementan estas funciones de modo adecuado. Por ejemplo, aislando segmentos enteros de la red en caso de que se detecten patrones de tráfico sospechoso. En caso contrario, se pueden introducir nuevos riesgos si el despliegue no se hace de manera cuidadosa y no se protege el plano de control o no se configuran mecanismos de autenticación mutua entre el controlador y los dispositivos de red del plano de datos.
-Network Slicing. Una de las grandes ventajas de la adopción del 5G es segmentar la red física de un operador en redes virtuales, cada una con diferentes casos de uso. Por ejemplo, una misma infraestructura física puede ser utilizada como red de telefonía móvil y como red para la comunicación entre coches autónomos. En ambos se puede ver que las necesidades de latencia o ancho de banda son diferentes en cada caso de uso. Es importante señalar que el aislamiento a nivel lógico debe ser total en cuanto a ancho de banda, calidad de servicio, visibilidad entre redes, etcétera.
Por tanto, no es difícil señalar cuáles son los principales retos a los que se enfrenta el 5G en este aspecto: asegurar que desde una red virtual no sea posible acceder a equipos situados en otra, impedir que desde una red se consuma ancho de banda a fuerza de restárselo a otra o imposibilitar que un usuario pueda acceder al tráfico que no pertenezca a su propia red.
-Multi–Access Edge Computing. Una de las principales novedades que ofrece el 5G frente a anteriores generaciones es la posibilidad de colocar en el borde de la red, típicamente en las estaciones base o en localizaciones cercanas a las mismas, aplicaciones de terceros para dar servicios que se aprovechen de la cercanía con el usuario final. Ejemplos de estos servicios son el posicionamiento dentro de grandes edificios, el coche conectado, la descarga de contenidos o el cacheo de vídeo.
Aquí, las consideraciones de seguridad tienen que ver con la conexión a la red de infraestructura de terceros con una visibilidad sobre la misma que consiga un equilibrio entre la funcionalidad que se quiere ofrecer y la seguridad de la propia red. Además, elaborar procedimientos de bastionado que deben cumplir los terceros para conectar su infraestructura a la red y la verificación de dichos procedimientos se antoja una necesidad ineludible en este ámbito.
-Uso de conexión inalámbrica para conectar antenas con el core de la red. El estándar 5G permite que, en algunos casos, la conexión de la estación base con el resto de la red sea también inalámbrica. Esto posibilita una mayor rapidez en el despliegue de la red al evitar las costosas acometidas por cable, pero aumenta la superficie de ataque inalámbrica. Y es que, ahora, las comunicaciones inalámbricas no se circunscriben solo a las conexiones entre los dispositivos móviles y la estación base, sino también entre ésta y el resto de la red.
Conclusión
No hemos tratado en este artículo las medidas de seguridad que se prescriben dentro de la Release 17 de 5G, que son numerosas y muy exigentes. Dichas medidas, de ser implementadas correctamente por los operadores de red y los fabricantes de dispositivos, permiten abordar con eficacia gran parte de los retos aquí señalados.
Este hecho, junto con la adopción de nuevos puntos de vista en la gestión de determinados procedimientos de seguridad, algunos apuntados aquí, debería llevar a que la adopción masiva de 5G no suponga un aumento significativo del nivel de riesgo que soportan tanto los usuarios de las redes móviles como los operadores de las mismas.
