El pasado viernes 25 de agosto el gobierno firmó un reglamento sobre medidas de seguridad para redes de quinta generación (5G), cuya vigencia inició este 31 de agosto con su publicación en el diario oficial La Gaceta.
Según los jerarcas de los ministerios de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y de Seguridad Pública (MSP), que firmaron el decreto junto con el presidente Rodrigo Chaves, el reglamento se emite de conformidad con las competencias dispuestas para las autoridades en la Ley General de Telecomunicaciones (N° 8642) y para “resguardar el régimen de derechos de los usuarios finales en cuanto a la intimidad, la privacidad y el secreto de las comunicaciones y la autodeterminación informativa”.
En su gira por Estados Unidos, Chaves aseguró que el reglamento firmado exige “que los países de los vendedores y proveedores potenciales deban haber adoptado los principios del acuerdo de Budapest”, del cual China no forma parte.
Así lo consigna el medio Infobae, el cual agrega que el paso se da en el marco de la colaboración de EE. UU. con la iniciativa de seguridad informática avanzada por Costa Rica tras el hackeo al Ministerio de Hacienda y otras entidades en abril de 2022.
El medio tituló: “Costa Rica prohibió que la empresa china Huawei participe del desarrollo del 5G en el país”
En junio pasado la Unión Europea comunicó que la exclusión de Huawei y de ZTE, otro fabricante de redes y dispositivos de origen chino, “está justificado” por los riesgos que plantean para la seguridad.
¿Qué dice el reglamento aprobado?
Entre los numerosos considerandos y artículos del reglamento publicado en La Gaceta se establece:
—Que en función de la Ley N° 9452 Convenio de Europa sobre Ciberdelincuencia (Budapest, 2001), aprobada en mayo del 2017, el país se adhirió al Convenio sobre Ciberdelincuencia de setiembre de 2001, que establece la prevención, investigación y sanción de delitos cibernéticos y prevenir los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos informáticos.
—Que la Ley N° 8642 también establece normas para el uso seguro del espectro (de dominio público, recuerda), las redes y los servicios de telecomunicaciones, incluyendo un régimen de protección a la intimidad y derechos de los usuarios, a lo que se agrega la obligación de operadores y proveedores de estos servicios y redes “de implementar los sistemas y las medidas técnicas y administrativas necesarias que conlleven la protección de los citados derechos”.
—Que diferentes convenios internacionales firmados por el país y recomendaciones (como las de la la Unión Europea respecto a 5G) establecen las responsabilidades para el tratamiento de vulnerabilidades, minimizar la exposición ante los criminales y advierten sobre los riesgos de dependencia de un único suministrador” e intromisiones por parte de Estados a través de la cadena de suministro de 5G.
—Que la implementación de las redes de 5G genera preocupaciones sobre la seguridad nacional y el riesgo de espionaje, “pues existe la posibilidad de que información confidencial y sensible pueda ser interceptada y utilizada por agentes extranjeros para fines de espionaje”.
—El objetivo del reglamento es la implementación de “medidas de ciberseguridad”, así como el resguardo de la información en redes y servicios de telecomunicaciones basados en la tecnología de 5G “y superiores”. Esto incluye que en los procesos de compra pública se adopten mecanismos para verificar que los oferentes consideraron los aspectos alusivos a la gestión y mitigación de los riesgos.
—El reglamento establece, precisamente, riesgos de dependencia de “un único suministrador” y de intromisión por parte de Estados a través de la cadena de suministro de redes de 5G.
—Fija varias obligaciones para “personas físicas o jurídicas, públicas o privadas, nacionales o extranjeras” que operen o presten servicios de 5G como “exigir a sus suministradores de hardware y software involucrados en las redes 5G y superiores el cumplimiento de estándares de ciberseguridad, desde el diseño de los productos y servicios hasta su puesta en funcionamiento”.
—Incluye otras obligaciones como:
1. Controlar su propia cadena de suministro para garantizar una operación y explotación segura de las redes de telecomunicaciones móviles y sus servicios.
2. Diseñar una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red 5G o superior, de forma tal que dichos equipos, sistemas o recursos sean proporcionados, como mínimo, por dos proveedores diferentes.
3. Considerar, entre otros, los riesgos de que los suministradores de hardware o software sean susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de dicho gobierno extranjero, en relación con la ubicación o ejecución de sus operaciones.
—Otro riesgo a considerar: cuando los suministradores de hardware o software “tienen su base en un país, o, de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses” o ese país “no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia (Convenio de Budapest)”.
—¿Qué se debe hacer en el caso de estos “suministradores”? El artículo 11 del reglamento dice:
“Cuando se identifique la presencia de alguno o varios de los parámetros de riesgo alto por parte de los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este reglamento, quedará sujeto a la adopción inmediata de las siguientes medidas técnicas de ciberseguridad:
“1) No podrán ser utilizados en elementos críticos de la red, equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales por representar un alto riesgo de ciberseguridad para las redes 5G y superiores, y la seguridad nacional.
“2) Llevar a cabo la sustitución de los equipos, productos y servicios de la red 5G y superiores cuando ello fuera necesario, para lo cual, deberá tener en cuenta la situación del mercado de los suministradores de hardware y software…”
¿Todo esto afecta a Huawei como proveedor de 5G en Costa Rica?
Los alcances del reglamento causan dudas.
“Del contexto que he revisado y por distintas declaraciones del propio presidente, mi respuesta es sí”, indicó Juan Manuel Campos, director de Ciber Regulación. Campos se refiere tanto a la publicación de Infobae como a las declaraciones que Chaves dio a Glenda Umaña, donde el presidente destacó la importancia que tiene esta red para la fabricación de microprocesadores y en función de la atracción de inversiones en este campo en el marco de la Chips Act.
El exministro Luis Adrián Salazar indicó que el reglamento establece algunas normas y requisitos que delimitan especificaciones técnicas, las cuales se asume debieron tener “profundo análisis técnico” en función de garantizar la ciberseguridad en redes 5G, cumpliendo la neutralidad tecnológica. “Esto podría dejar fuera a algunas empresas proveedoras que incumplan”, afirmó Salazar.
Al respecto, Campos explicó que la neutralidad tecnológica, establecido en el tratado de libre comercio con EE. UU. (Cafta, por sus siglas en inglés) y en la Ley 8642, señala la posibilidad que tienen los operadores de redes y proveedores de servicios de telecomunicaciones para escoger las tecnologías por utilizar, siempre que estas dispongan de estándares comunes y garantizados, cumplan los requerimientos necesarios para satisfacer las metas, los objetivos de política sectorial y se garanticen, en forma adecuada, las condiciones de calidad y precio.
Asimismo recordó que el Cafta establece que no se impedirá que los proveedores de servicios públicos de telecomunicaciones tengan la flexibilidad de escoger las tecnologías que ellos usen para suministrar sus servicios, sujeto a los requerimientos necesarios para satisfacer los intereses legítimos de política pública.
Sobre las competencias del Micitt y del MSP para limitar las tecnologías a adquirir indicó que la única norma que existe, en cuanto a diseño de redes, está en la Ley Fortalecimiento y Modernización de las Entidades Públicas del Sector Telecomunicaciones (N° 8660) que le otorga esa competencia a la Superintendencia de Telecomunicaciones (Sutel) y en forma limitada pues es en relación al diseño de las redes, “de conformidad con condiciones técnicas, jurídicas y económicas que permitan su interoperabilidad”.
Presencia de Huawei
La presencia del proveedor chino se incrementó en el país desde hace casi 15 años cuando el Instituto Costarricense de Electricidad (ICE) inició la implementación de su red de tercera generación o 3G con tecnología HSPA. Para ese entonces, también el fabricante de ese mismo origen ZTE inició su presencia local.
En Costa Rica Huawei comercializa sus dispositivos móviles, tanto teléfonos inteligentes como otros equipos de usuario, y por aparte los equipos y sistemas para redes de telecomunicaciones.
LEA MÁS: ICE resuelve y confirma nuevas adjudicaciones de contratos para red 5G
Las compras públicas a Huawei no se limitaron a las redes móviles, incluyendo 4G. El ICE y otros operadores de redes de telecomunicaciones a nivel municipal o regional también adquirieron suministros para los servicios de Internet y televisión por Internet (IPTV).
De acuerdo con información de la Contraloría General de la República, desde el año 2020, los contratos con Huawei superan los ¢17.615 millones a la fecha, incluyendo compras del ICE y de su subsidiaria Radiográfica Costarricense S. A. (Racsa).
Asimismo, aparecen compras por ¢563 millones a One Way Technologies, que recientemente el ICE indicó es representante de Huawei, de la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (Jasec), la Junta Protección Social de San José y el mismo ICE.
La información de la Contraloría no indica el tipo de compras realizadas.
El ICE recientemente indicó que entre los contratos para su red 5G se incluía una adjudicación a One Way Technologies S. A., “representantes de Huawei”.