La pesadilla del 5G para la policía

Hace unos meses, nos hacíamos eco de una conferencia impartida por Patrick Rhude, el responsable de seguridad de Nokia, en la que alertaba de los peligros de seguridad que traían consigo las redes de telefonía 5G. Ahora, un reciente informe de Europol sigue esa misma línea, alertando de los riesgos que entraña esta tecnología que parece estar llamada a marca el desarrollo de la sociedad digital en los próximos años.

El primero de los desafíos que Europol destaca es la complejidad con la que se van a topar las fuerzas del orden cuando tengan que identificar y localizar a los usuarios. Según expone este organismo europeo, la tecnología 5G complica el uso de los identificadores únicos de tarjetas SIM con los que las autoridades identifican y localizan los dispositivos. Esto se debe a dos circunstancias:

En primer lugar, el cifrado de la IMSI (International Mobile Subscriber Identity), esto es, el número individual de la tarjeta de teléfono móvil que se envía en segundo plano durante cada proceso de comunicación, y que se puede utilizar para identificar y localizar el dispositivo de teléfono móvil. Este cifrado impedirá que seguir haciéndolo, siendo imposible también para las autoridades asignar un dispositivo a una persona específica.

En segundo lugar, el desarrollo de la tecnología 5G hará obsoleto el uso de los receptores IMSI, hasta ahora indispensables para la policía a la hora de llevar a cabo medidas de vigilancia e investigación. ¿Por qué? Porque tanto la propia red móvil de operadores como los mismos dispositivos podrán detectar las bases falsas, como son los receptores IMSI.

Por otro lado, las autoridades también encontrarán un auténtico desafío a la hora de disponer y acceder a información a través de interceptaciones legales. El escollo con el que se encuentran es la división de la red, una de las características fundamentales del 5G. Con esta nueva tecnología, lo que antes era una sola red de radio móvil ahora se convierte en múltiples redes virtuales; dicho de otro modo, en una única infraestructura física coexistirán ahora muchas redes virtuales, con elevados niveles de personalización para adecuarse a las necesidades de las diferentes aplicaciones, sercicios, dispositivos, cliente y operadores.

Esta funcionalidad traerá consigo una mayor eficiencia energética y económico respecto a las redes 4G, optimizando tanto la utilización de la infraestructura como la asignación de recursos. La mala noticia para las autoridades es que, cuando quieran interceptar una llamada de manera legal, precisarán la cooperación de numerosos proveedores de la red, no sólo en ese país, sino también en el extranjero. Puede darse el caso de que alguna de las divisiones de la red esté en manos de terceras partes privadas que no estén sujetas a determinada legislación y, con ello, sea imposible acceder legalmente a la información que alberga.

Los problemas para las fuerzas del orden no terminan aquí. El denominado Multi-Access Edge Computing (MEC) se presenta como otro palo en las ruedas para las autoridades. Esta tecnología permite que los teléfonos puedan comunicarse entre sí sin tener que utilizar la red central del operador. Esta comunicación directa entre dispositivos, sin que ni el contenido de la comunicación ni los identificadores se redirijan a través de los nodos centrales, también hará más inaccesible la información a la policía y/o servicios de inteligencia.

Por si esto no fuera poco, la encriptación extremo a extremo (E2E) será la guinda del pastel. Este tipo de encriptación todavía no está incluida como un protocolo estándar, pero todo apunta a que lo estará y, aunque no fuera así, los propios fabricantes de teléfonos móviles la incluirán. De nuevo, otra barrera infranqueable para acceder al contenido de las comunicaciones.

Por último, tampoco podemos olvidar la virtualización de las partes físicas de la red (NFV), que pueden propiciar que los delincuentes ejecuten ataques para acceder o, incluso, modificar los números de teléfono (listas de objetivos) que son monitorizados. Según Europol, en la actualidad no existe ningún hardware comercial disponible para prevenir este tipo de ataques.