El pasado lunes la NSA, junto a otras instituciones gubernamentales estadounidense, publicó un estudio sobre los principales riesgos y vulnerabilidades de las redes 5G.
Ya hemos hablado en alguna ocasión sobre los riesgos que puede conllevar la implementación de redes 5G. Por ejemplo, explicamos cómo las redes 5G podrían ser vulnerables a la interceptación/modificación de comunicaciones, así como también tratamos en qué consisten ataques como ToRPEDO, Piercer e IMSI-Cracking.
Un nuevo estudio, publicado por la NSA, el DHS y la CISA, señala que los principales riesgos y vulnerabilidades se producen a consecuencia de:
- Las políticas y estándares que regulan la tecnología 5G.
- La cadena de abastecimiento.
- La arquitectura de los sistemas 5G.
El estudio menciona la preocupación de que los Estados intenten «ejercer una influencia indebida en los estándares para beneficiar el uso de tecnologías privadas y así limitar las posibilidades de elección de los clientes».
También existe la posibilidad de que los Estados desarrollen estándares que con el tiempo hagan difícil actualizar, reparar y reemplazar la tecnología y/o el sistema en uso. La gravedad de lo que esto implica aumenta si los controles opcionales de seguridad no son implementados en los protocolos de telecomunicaciones, ya que podrían aparecer puertas traseras que permitan diversos ataques.
Se podría dar una situación en la que, por ejemplo, se añada código malicioso de manera intencionada a uno de los módulos de la cadena de suministro del software, el cual sería posteriormente derivado a los usuarios. Las víctimas del ataque no tendrían constancia de lo ocurrido y harían uso de los componentes comprometidos dentro de su propia red.
Por último, se señala, asimismo, que la propia arquitectura del 5G podría ser utilizada como una manera de llevar a cabo diversos tipos de ataque. El aspecto más alarmante en cuanto a la arquitectura podría ser la necesidad de ofrecer soporte a la infraestructura de comunicaciones de las redes 4G, las cuales tienen vulnerabilidades propias que se sumarían a todo lo explicado hasta el momento. Además, aparece la posibilidad de que actores maliciosos consigan interferir con rutas de comunicaciones que no son críticas, afectando, consecuentemente, a comunicaciones cuya prioridad es más alta.
