Los cinco principales riesgos de seguridad de Open RAN
La tecnología Open RAN permite la interoperabilidad entre el hardware, el software y las interfaces utilizadas en las redes móviles, pero también cambia la superficie de ataque.
Cuando un teléfono u otro dispositivo móvil se conecta a la antena más cercana, la comunicación tiene lugar a través de algo llamado RAN (Radio Access Network), una red de acceso de radio. Desde la antena, la señal se dirige a una conexión de fibra o inalámbrica a la red principal.
Las RAN son propiedad de cada fabricante de equipos. La Open RAN, por el contrario, permite la interoperabilidad para que los proveedores de servicios puedan utilizar subcomponentes no propietarios de distintas empresas. Esto añade complejidad a la red y cambia el escenario de riesgo de las comunicaciones inalámbricas.
¿Qué es la RAN y la Open RAN?
Con el 4G, la señal RAN se basó por primera vez en el Protocolo de Internet (IP). Anteriormente, utilizaba redes basadas en circuitos, en las que las llamadas telefónicas y los mensajes de texto viajaban por circuitos dedicados. La RAN también ha evolucionado para admitir la transmisión de vídeo y audio, y más tipos de dispositivos, incluidos los vehículos y los drones.
Las RAN tienen componentes de hardware y software. El hardware incluye las antenas y radios de los teléfonos móviles y las unidades de banda base situadas en las torres de telefonía. Las unidades de banda base suelen estar hechas a medida.
Históricamente, ésta ha sido la mayor inversión para un operador de redes móviles, según Shamik Mishra, CTO de conectividad de Capgemini. La virtualización y la cloudificación han obviado esta parte de la red, dice, principalmente por la dependencia de un único proveedor de hardware y el software integrado que lo acompaña, la compleja gestión de la red y las unidades de radio personalizadas.
En los últimos años, la red de radio se ha desagregado, dice Mishra. "Las unidades de radio y el software de banda base están ahora divididos", dice, "lo que permite virtualizar la RAN". "Este avance también añade múltiples proveedores a la mezcla".
Ahora, la Open RAN es la última evolución de la RAN, e implica estándares interoperables para el hardware, el software y las interfaces. Además, el software de Open RAN se está desarrollando como nativo de la nube, dice Mishra. Si las telecomunicaciones pueden desplegar la automatización a escala podrán crear aplicaciones de red inteligentes y crear nuevos casos de uso que antes no eran posibles, afirma.
La RAN abierta también permitirá a los operadores compartir bandas de espectro, dice Erik Krogstad, arquitecto nacional senior de la nube en Sungard Availability Services. Eso reducirá la necesidad de nuevas licencias de espectro y facilitará a las empresas el despliegue de sus propias redes 5G. "La tecnología también ofrece un mejor rendimiento y redundancia, lo que la hace más fiable y eficiente", afirma. La RAN abierta también permitirá a las telecos sustituir el costoso hardware propietario por servidores de marca blanca y otros equipos estándar, lo que les ahorrará tiempo y dinero.
Además del esperado ahorro de costes, hay otros beneficios, dice John Carse, CISO de Rakuten Mobile y Rakuten Symphony. Él es el responsable de garantizar la seguridad de la enorme instalación de Open RAN de Rakuten Mobile, que ya está desplegada. "Los operadores de redes que eligen elementos de RAN con interfaces estándar de Open RAN pueden evitar quedar atrapados con el hardware y el software de un proveedor", afirma.
Con las recientes interrupciones en la cadena de suministro mundial, disponer de más opciones es algo bueno, dice Carse. La competencia también ayudará a estimular la innovación, añade. Los transportistas obtendrán visibilidad de la tecnología en el fronthaul, es decir, la conexión con los teléfonos móviles y otros dispositivos móviles. Eso puede ayudar a garantizar la confidencialidad e integridad de estos sistemas. Se trata de pasar de la "seguridad a través de la oscuridad" a la 'confianza cero", afirma.
Riesgos de seguridad de Open RAN
Sin embargo, los expertos han advertido que existen posibles riesgos de seguridad asociados a Open RAN. El pasado mes de mayo, por ejemplo, la Unión Europea publicó un informe sobre la seguridad de la Open RAN en el que se enumeraban posibles problemas, como una mayor superficie de ataque, un mayor riesgo de desconfiguración, el riesgo de afectar a otras funciones de la red debido a la compartición de recursos y unas especificaciones inmaduras que no son seguras por diseño. Según el informe, la RAN abierta también podría dar lugar a nuevas dependencias críticas en los componentes de la nube.
En febrero, la Oficina Federal de Seguridad de la Información de Alemania encargó un informe sobre las especificaciones de la Open RAN presentadas por la O-RAN Alliance y fue especialmente mordaz. Según el informe, las especificaciones de la O-RAN "ofrecen pocas directrices en el ámbito de la seguridad" y "se pueden identificar riesgos de seguridad medios y altos en numerosas interfaces y componentes".
Esto se debe a que la especificación actual no cumple el principio de seguridad por defecto, dicen los autores del informe, y no tiene en cuenta los principios de seguridad multilateral, asumiendo un mínimo de confianza de todas las partes interesadas.
Como resultado de estas y otras preocupaciones, la adopción de Open RAN ha sido más lenta en Europa que en Japón, dice Krogstad. "Se está trabajando en todos estos aspectos para que todos los países se sumen a la idea de ofrecerlo como un servicio global uniforme", afirma.
Estos son los cinco principales riesgos de Open RAN.
1. La nube es el principal riesgo de seguridad de 5G
Cualquier tecnología nueva plantea riesgos de seguridad. Puede haber vulnerabilidades en la plataforma que no se aborden con las primeras implementaciones, y puede llevar tiempo tapar todos los agujeros. Pero Carse afirma que es un error pensar que Open RAN aumenta los riesgos de seguridad. "Open RAN es simplemente más interfaces estandarizadas", afirma. Además, las interfaces de radio no son las áreas débiles de las redes de telecomunicaciones".
Está de acuerdo en que la nube es un nuevo gran factor de riesgo. "El riesgo identificado en 5G en general es el mismo riesgo al que se enfrentan todas las industrias", dice. "El negocio se está moviendo a la nube usando contenedores, Kubernetes, y la cadena de suministro de software se está moviendo a un modelo operativo de integración continua, despliegue continuo".
Cuando ocurren los ataques, normalmente comienzan con credenciales comprometidas, servidores web vulnerables o software comprometido, dice Carse. "Una vez que se viola una red, el hacker pasará a escapar del contenedor en el clúster Kubernetes y luego se moverá desde allí para descubrir más servicios", dice. "Dado que el 5G es la primera generación de telecomunicaciones que está diseñada para ser nativa de la nube, es fundamental que la nube de telecomunicaciones implemente las mejores prácticas de la industria de TI".
Sin embargo, preocupa que el panorama de proveedores más diverso de Open RAN y la cadena de suministro de software amplíen la superficie de ataque potencial. Además, la mayor complejidad hace más difícil asegurar los sistemas.
2. Los proveedores de hardware se quedan atrás en materia de seguridad
Aparte de los riesgos asociados con el paso a la infraestructura en la nube, el mayor desafío en materia de ciberseguridad es conseguir que los proveedores mejoren su juego, dice Carse. "Mi experiencia, trabajando con nuestros proveedores, me lleva a creer que nunca han examinado su tecnología o sus procesos operativos desde el punto de vista de la seguridad", afirma. "Tienen ciclos muy largos para abordar la aplicación de parches, el endurecimiento y el uso adecuado de las prácticas estándar de seguridad operativa".
En comparación, otros tipos de proveedores de tecnología están muy por delante. "La visibilidad que obtenemos de las implementaciones virtualizadas y en contenedores es reveladora", dice Carse. Recomienda que las empresas de telecomunicaciones que trabajen con proveedores de Open RAN estén preparadas para gestionar las entregas mediante contratos adecuados y acuerdos de nivel de servicio.
Otra cuestión relacionada con el hardware que puede plantear retos adicionales es que el código de diseño que se usa para crear semiconductores de plataforma suele ser propietario, pero también debe ser revisado y verificado, afirma David Witkowski, miembro senior del IEEE. "Y aunque sea abierto, el proceso de revisión del código de diseño de hardware es mucho más complejo que el de revisión del código de software", afirma.
3. Open RAN abierta aumenta la complejidad
La RAN abierta es una tecnología nueva para el sector de las telecomunicaciones, dice Carse. "E introduce varias capas de complejidad, especialmente en los entornos de telecomunicaciones existentes", afirma.
En primer lugar, la arquitectura de contenedores y microservicios es algo diferente a lo que el sector está acostumbrado con la RAN. "También tenemos la complejidad introducida por el creciente número de actores en el ecosistema", dice Carse. "La alineación en la especificación y la tecnología para reunir todo esto todavía se está desarrollando. El sector de la RAN abierta está fragmentado, con muchas implantaciones que compiten entre sí, y todavía tiene que consolidarse. La complejidad de una sola implementación supone un riesgo para la seguridad".
No es una tarea imposible, dice Carse. "Tenemos muchas prácticas y tecnologías no telco que podemos utilizar para asegurar los contenedores y las arquitecturas de microservicios", dice. Por ejemplo, Rakuten Mobile está aplicando las mejores prácticas de la industria para asegurar su propia infraestructura nativa de la nube. "Utilizamos ampliamente nuestra propia autoridad de certificados", dice. "Y proporcionamos a nuestros elementos de RAN y de red una fuerte identidad y acceso a la red utilizando certificados. Tenemos una gestión secreta avanzada integrada con nuestro orquestador de contenedores para nuestras funciones de red y aplicaciones que se ejecutan en nuestra red. Tenemos el control de lo que se permite ejecutar en nuestra plataforma mediante controles de políticas de firma y configuración. Supervisamos continuamente los cambios en nuestro entorno y somos capaces de detectar cualquier ejecución en nuestro entorno de ejecución".
Rakuten Mobile también utiliza los principios de DevSecOps. Ayuda a la empresa de telecomunicaciones a identificar posibles problemas en la lógica del código, vulnerabilidades de los contenedores y problemas de configuración. "Y tenemos un fuerte gating para asegurar que los problemas se abordan antes de pasar a nuestro entorno de producción", dice Carse.
4. El código abierto supone un riesgo para la cadena de suministro de software
El código abierto no es necesariamente más o menos seguro que el software propietario. De hecho, la mayoría del software propietario se basa en código abierto, pero el hecho de que esté abierto al público significa que los atacantes pueden escudriñar y buscar debilidades o intentar inyectar componentes maliciosos.
"Toda la red móvil puede estar en peligro solo por un pequeño fallo que ya está a la vista", dice Andreas Grant, fundador e ingeniero de seguridad de redes de Networks Hardware. "Un ataque de denegación de servicio distribuido de bajo nivel podría ser suficiente para hacer caer toda una red si la configuración no se hace bien".
"Personalmente, creo que el código abierto es siempre una mejor opción, ya que aportará una mirada y productos nuevos y la posibilidad de que la comunidad en general haga sus aportaciones", dice Andy Rogers, asesor principal de Schellman, una empresa de evaluación de ciberseguridad global. "Lo que, a fin de cuentas, hace que la tecnología sea más fuerte cuando se parchea y se arregla".
Algunas de las plataformas más seguras que existen, como OpenBSD, son de código abierto, afirma Rogers. "Como todo el mundo puede intervenir en Open RAN, los problemas pueden ser detectados por una comunidad mucho más amplia de hackers e investigadores de seguridad", afirma.
Aun así, habrá problemas de crecimiento. "Con cualquier tecnología nueva, habrá agujeros", dice Rogers. Siempre que haya menos control sobre el desarrollo de la tecnología, habrá graves problemas con algunos de los productos que se desarrollen, como hemos visto con las cámaras IP. Comprueba lo explotables que son las de Shodan".
5. El espectro compartido aumenta el riesgo de interrupción
Con Open RAN, varios operadores pueden utilizar las mismas bandas, afirma Krogstad, de Sungard Availability Services, y esto puede suponer un riesgo para la seguridad. En el modelo tradicional, las compañías móviles trasladaban la voz y los mensajes por redes cerradas y propietarias. "Esto les permitía controlar estrictamente el funcionamiento de sus redes y los dispositivos que podían utilizarse en ellas", afirma.
Ahora que varios operadores pueden utilizar el mismo espectro, existe el riesgo de posibles interferencias, así como el riesgo de que los agentes de amenazas roben datos o provoquen interrupciones del servicio. "Compartir la infraestructura también facilita a los atacantes la penetración en las redes", afirma Krogstad.
Estrategias de seguridad de Open RAN
Según Carse, de Rakuten Mobile, los gobiernos han dado un gran paso adelante para proporcionar orientación sobre la seguridad de la RAN abierta. Destaca la caja de herramientas de la UE y el informe de la UE sobre la ciberseguridad de Open RAN.
La Unión Europea publicó una guía con medidas de mitigación de riesgos para las redes 5G hace dos años y un informe sobre ciberseguridad el pasado mes de mayo. "Ambos documentos ponen de manifiesto los retos presentes en las telecomunicaciones de cara al futuro", afirma Carse.
La industria, la comunidad de proveedores y las agencias gubernamentales están prestando atención a los riesgos de la Open RAN. Los problemas de seguridad de la RAN abierta se debaten tanto dentro como fuera de los organismos de normalización, dice Carse. "Sin embargo, creo que estas conversaciones abiertas y cara a cara se han visto obstaculizadas por COVID-19 en los últimos dos años", afirma.
El sector está empezando por fin a celebrar más seminarios presenciales, pero a Carse le gustaría ver una mayor participación de los gobiernos para ayudar a realizar inversiones en investigación y desarrollo y para colaborar para abordar los problemas de la cadena de suministro.
