El Gobierno da largas a la lista negra de proveedores de 5G para evitar un choque con China

Nueve meses después de su entrada en vigor, todavía no se ha puesto en práctica el núcleo central de la ley de ciberseguridad de la red 5G. Para que se aplique, según fuentes del sector, hace falta que se apruebe la lista de proveedores de alto riesgo a los que se excluirá de las partes más sensibles de las redes de comunicación de quinta generación; y, además, el listado de ubicaciones en las que, por su vinculación con la seguridad nacional o con infraestructuras de carácter estratégico, no puede instalarse ningún componente de dichos proveedores. La primera decisión corresponde al Consejo de Ministros; y la segunda, al Consejo de Seguridad Nacional. La ley de ciberseguridad, que entró en vigor el 31 de marzo, daba un plazo de tres meses para adoptar ambas decisiones: hasta el 30 de junio. Sin embargo, aún no hay fecha para su aprobación, reconocen fuentes gubernamentales. Tampoco para el primer Esquema Nacional de Seguridad y Servicios 5G, un análisis de los riesgos y las medidas para mitigarlos, que debía estar listo en el doble de tiempo, seis meses, ya sobrepasados.

En el Ministerio de Asuntos Económicos y Transformación Digital, competente en la materia, alegan que no existe tal retraso, pues, en el calendario legislativo inicial, la ley de ciberseguridad 5G estaba prevista para finales de 2022. Pero fue el propio Gobierno el que decidió aprobar la norma por decreto-ley, y no mediante un proyecto de ley, de tramitación más lenta, apelando a la “extraordinaria y urgente necesidad” derivada de la invasión de Ucrania, el 28 de febrero, y del “elevado riesgo de ciberataques contra redes y servicios 5G ya desplegados en nuestro país o con despliegue previsto en los próximos meses”. Según el preámbulo de la norma, el recurso al decreto-ley garantizaba “la entrada en vigor con celeridad de aquellas medidas que permitan prohibir o limitar la actividad en el mercado de suministradores que hayan sido considerados de alto riesgo o riesgo medio por el Gobierno, en base a criterios técnicos y aspectos estratégicos”. La celeridad, sin embargo, desapareció cuando la norma se publicó en el BOE.

Presiones de EE UU

Fuentes gubernamentales admiten que la premura en aprobar la ley coincidió con las renovadas presiones de Washington, que viene reclamando desde hace años a los países europeos que den ese paso, mientras que la actual demora responde a la necesidad de ganar tiempo para evitar un choque diplomático con China y minimizar el coste para los operadores de telefonía (Telefónica, Orange y Vodafone, fundamentalmente) que deben desprenderse de los componentes de origen chino. Aunque la ley no los cita expresamente, todos los interlocutores de EL PAÍS dan por hecho que la lista negra incluirá a los dos gigantes del país asiático: Huawei y ZTE.

El artículo 14 de la ley de ciberseguridad 5G señala que, más allá de las certificaciones técnicas y auditorías de seguridad de los equipos, a la hora de vetar a un suministrador se tendrán en cuenta sus vínculos con gobiernos extranjeros, su capital social y órganos de dirección, la legislación sobre ciberdefensa o protección de datos y el respeto al derecho internacional en su país de origen; así como “el poder de un tercer Estado para ejercer presión” sobre la compañía. “Verde y con asas”, señalan fuentes del sector. Aunque Huawei alega que es propiedad de sus empleados y no del Estado, la Ley de Inteligencia Nacional china de 2017 obliga a todas sus empresas a “apoyar, cooperar y colaborar” con los servicios de espionaje; lo que muchos interpretan, aunque Huawei lo niegue, como un permiso de acceso por la puerta trasera.

Fuentes del Ministerio de Economía admiten que el veto no puede ceñirse a productos concretos pues, aunque se verifique que uno no está hackeado, eso no garantiza que no pueda estarlo otro del mismo modelo; ni tampoco al software, pues este se actualiza permanentemente y, por lo tanto, la lista se basará también en los “riesgos estratégicos” y niveles de “exposición a injerencias extranjeras” asociados a la empresa suministradora.

Para evitar el choque frontal con China, se baraja la posibilidad de que el acuerdo con la lista de compañías vetadas sea clasificado como secreto, pero la ley obliga a dar audiencia previa, por un plazo 15 días, a los operadores y suministradores afectados y el acuerdo del Consejo de Ministros, una vez aprobado, puede ser recurrido ante los tribunales, por lo que se acabará conociendo.

La dependencia de la tecnología china es una preocupación compartida en Europa. La UE aprobó en 2020 la llamada “caja de herramientas de seguridad 5G”, un conjunto de medidas destinadas a mitigar los riesgos asociados a esta tecnología, pero dejaba en manos de los gobiernos la adopción de las más drásticas. Mientras el Reino Unido, siguiendo la directriz de Washington, limitó el acceso de Huawei a su red 5G (aunque con un largo periodo de transición hasta 2027) y Suecia la ha excluido pese a las represalias de Pekín contra Ericsson, otros países intentan sortear el conflicto. En noviembre pasado, Margrethe Vestager, vicepresidenta de la Comisión Europea a cargo de los temas digitales, instó a los gobiernos a actuar con urgencia, criticando el retraso de Alemania, “pero no solo de Alemania”. Y apostilló: “Algunos países han aprobado ya legislaciones. Sería incluso mejor si las pusieran en práctica”.

Aún no está claro si la lista negra de suministradores será secreta, pero sí lo será la relación de ubicaciones en cuyas redes de acceso estará vetado el uso de equipos y componentes de empresas de alto riesgo, como centrales nucleares, centros de interés para la defensa y la seguridad nacional o infraestructuras estratégicas. La amplitud de este listado determinará el alcance del veto a las compañías chinas, aunque el actual borrador —pactado entre los ministerios de Economía, Defensa e Interior— apunta a una relación larga, pero ceñida estrictamente a las instalaciones, y no a las “zonas geográficas” donde estas se ubican, como la ciudad de Madrid. Además de vetarlos en los sistemas de las administraciones públicas, habrá que determinar con mayor precisión cuáles son los “elementos críticos” de las redes 5G donde estará prohibido usar componentes de alto riesgo, pues la ley solo alude a su “núcleo” (core, en inglés) y a “los sistemas de control y gestión y los servicios de apoyo”.

Pero la gran batalla está en los plazos de los que dispondrán las operadoras para desprenderse de componentes chinos, ya que la red 5G aprovecha buena parte de la infraestructura 4G y, según diversos estudios, en torno al 40% de los actualmente instalados tienen ese origen. No es sorprendente teniendo en cuenta que Telefónica tenía una alianza estratégica con China Unicom, con la que llegó a intercambiar un paquete accionarial, y que en noviembre de 2018, con motivo de la visita a España del presidente chino, Xi Jinping, La Moncloa apadrinó un acuerdo de la compañía española con Huawei para el desarrollo de la red 5G, especialmente en Latinoamérica. Fuentes gubernamentales sostienen que, pese a estos precedentes, Telefónica se ha adelantado a otras operadoras a la hora de planificar la sustitución de estos equipos. Orange, por su parte, no usa componentes de Huawei para su red de 5G en Francia, pero sí en otros países.

El acuerdo del Consejo de Ministros que apruebe el listado de suministradores vetados fijará también el plazo para sustituir sus componentes atendiendo, entre otros factores, a la dificultad del proceso y a su “impacto económico”. El objetivo, según fuentes gubernamentales, es que el coste para las compañías sea el más bajo posible, teniendo en cuenta que la rápida obsolescencia tecnológica de estos equipos obliga a sustituirlos cada pocos años. “No se trata de que los cambien ahora, sino de que busquen otro suministrador, aunque resulte más caro, cuando haya que cambiarlos”, explican las mismas fuentes. La ley ya prevé que, en caso de que las operadoras tengan que retirar componentes de empresas de alto riesgo, dispondrán de un plazo de entre dos y cinco años para hacerlo, a partir del momento en que se apruebe el acuerdo del Consejo de Ministros. Y este acumula ya seis meses de retraso.