La compañía china está vetada de las redes 5G por motivos de seguridad en España tal y como os hemos comentado, pero mantiene contratos activos con la Administración. Uno de estos contratos es bastante delicado ya que abarca el almacenamiento digital de las escuchas telefónicas autorizadas por jueces en investigaciones de la Policía, la Guardia Civil e incluso el CNI.
¿Por qué para unas cosas sí y otras no?
Dejando de lado la política y los partidos, la realidad es que un observador externo se quedaría como mínimo extrañado por la situación. Huawei no puede dotar a las operadoras españolas de equipos para el 5G por riesgo para la seguridad, pero sí puede firmar un contrato de 12,3 millones de euros para mantener el sistema OceanStor 6800V VS, una plataforma destinada a custodiar grabaciones judiciales de carácter confidencial. El acuerdo cubre el mantenimiento durante 24 meses del sistema de almacenamiento OceanStor, y la oferta de Huawei resultó ganadora frente a las de presentadas por empresas como Dell y NetApp, al suponer un ahorro estimado del 18%.
El gobierno de EEUU no ha ocultado su temor a que estos datos acaben filtrándose al Partido Comunista Chino (PCCh), mientras que el gobierno español señala que no hay motivo de alarma. Curiosamente, a finales de 2019, el Ministerio de Defensa prohibió el uso de móviles Huawei a sus miembros. Es decir, existe una doble vara de medir con la empresa china que ha levantado sospechas al otro lado de océano Atlántico.
| Actor | Postura Oficial | Argumento Clave |
|---|---|---|
| Gobierno de España | Riesgo inexistente | El sistema está físicamente aislado ('air-gapped') y es auditado por el CNI. |
| Congresistas de EE.UU. | Riesgo Alto | Posible acceso del Partido Comunista Chino a datos sensibles de un aliado de la OTAN. |
| Junts per Catalunya | Preocupación | Posible incompatibilidad con las recomendaciones de seguridad de la Unión Europea. |
| Expertos en Ciberseguridad | Riesgo Controlado | La seguridad real depende de la correcta implementación del aislamiento físico y los controles de acceso. |
Desde España apuntan a que el sistema que operará Huawei es totalmente estanco, sin conexión a redes externas, Internet ni canales remotos de acceso. Interior apunta a que no existe riesgo de fuga de datos y que se trata solo de la prórroga de un contrato ya existente desde anteriores legislaturas. EEUU considera que esto no es suficiente.
Una carta firmada por los congresistas republicanos Tom Cotton y Rick Crawford, apunta lo siguiente:
“Huawei y el Partido Comunista Chino podrían tener acceso por la puerta trasera al sistema de interceptación legal de una nación aliada de la OTAN”
La decisión del Gobierno sorprende porque Huawei está siendo vetada de la práctica totalidad de las infraestructuras de nuestro país. Tal y como contamos cuando surgieron las dudas sobre el uso de móviles y equipos 5G chinos en España, la presión internacional ha provocado una retirada progresiva de su tecnología.
Problemas con Estados Unidos
La cosa llegó mucho más allá cuando Estados Unidos prohibió que empresas como Intel o Qualcomm colaboraran con Huawei. El problema en España es que el Ministerio de Interior afirma que la decisión se basa en criterios técnicos y económicos, defendiendo que Huawei ofrece un coste muy inferior a sus competidores.
La carta enviada a la directora de Inteligencia Nacional estadounidense, Tulsi Gabbard, ha sido remitida también a los máximos responsables de la CIA, el Pentágono y la Agencia de Seguridad Nacional. Por su parte, fuentes del CNI afirman que ya no utilizan equipos Huawei desde hace años, aunque colaboran en la certificación técnica de algunos sistemas.
¿Un sistema “air-gapped” es realmente infalible?
Aunque los sistemas aislados físicamente de cualquier red (conocidos como air-gapped) se consideran altamente seguros frente a ataques remotos, la realidad es que no son invulnerables. Expertos del Instituto Nacional de Ciberseguridad (INCIBE) y estudios publicados por el IEEE, explican que existen
vectores de ataque muy específicos que pueden comprometer su integridad durante tareas de mantenimiento o actualización.
Entre los riesgos más conocidos destacan:
- Manipulación física del hardware: Técnicos o personal con acceso podrían conectar dispositivos comprometidos (como discos duros o memorias USB modificadas) que comprometan el funcionamiento del sistema o generen filtraciones.
-
Filtración por canales encubiertos: Investigaciones han demostrado que, pese a que parezca más propio de una película, es posible extraer datos mediante emisiones electromagnéticas, acústicas o térmicas, captadas por sensores o dispositivos cercanos.
-
Ataques al firmware: El firmware de discos duros y otros componentes puede ser modificado para instalar puertas traseras persistentes, invisibles para auditorías de software tradicionales.
En resumen, la seguridad de un sistema aislado no sólo depende de no estar conectado a Internet. La solidez de las medidas adicionales como el control de acceso físico, la monitorización del personal y las auditorias constantes son la clave para estos entornos críticos. Es el CNI en España quien debe garantizar estos niveles de protección con total independencia técnica y operativa.
Ahora, la gran pregunta es: ¿Hasta qué punto se puede confiar en un proveedor vetado del 5G para guardar datos tan sensibles?
