La seguridad en las futuras redes 5G
La seguridad en las futuras redes 5G
A esto hay que sumar la introducción de nuevos dispositivos (Internet de las Cosas), que experimentará aún un mayor impulso con el paso de 4G a 5G que, como ya explicaba un compañero, es una arquitectura orientada a los servicios que impulsa la transformación digital.
Algunas de estas nuevas posibilidades que abre son tan delicadas como la conducción inteligente de vehículos o la cirugía a distancia. En otros casos, la confidencialidad será crítica. Por eso, todos estos sistemas basados en redes móviles requieren una seguridad extrema que garantice la integridad de la identidad de los usuarios/dispositivos, del tráfico y la no intrusión.
Además, una cuestión adicional es que los núcleos de estas redes de nueva generación se basan en protocolo IP, que es el más usado, pero también el más atacado tradicionalmente.
Por ello, para que las nuevas redes 5G lleguen ya con estos mecanismos de seguridad de núcleo desplegados, son necesarios los siguientes requisitos:
- Integridad del tráfico en el plano de control para poder gestionar adecuadamente la comunicación global, esto es, que no se puedan interceptar ni desviar paquetes con la información de la red que contenga claves o datos de relevancia. Así, se puede evitar que deje de funcionar todo el sistema por un ataque directo contra los mecanismos de control de los distintos nodos, de la administración de los servicios, etc.
- Integridad de tráfico de usuario. Consiste en que no se alteren los datos que envían los usuarios o dispositivos para que no varíe la información ni los efectos que produce.
- Conexión con garantía de confidencialidad entre la estación base radio y el núcleo de red. Se trata de que no haya ni un solo tramo entre los nodos de servicio que pueda ser “escuchado” en abierto porque falte algún cifrado del contenido.
- Chequeo de la integridad del terminal físico: el propio terminal tendrá la capacidad de detectar alteraciones de la información transmitida y podrá avisar de un ataque.
- Almacenamiento y procesamiento de datos en un entorno seguro: todos los datos que se almacenan en los nodos de red serán tratados conforme a normativas de seguridad para que estos no se pierdan ni corrompan a lo largo del tiempo.
Anteriormente existían algoritmos de autenticación robustos para evitar tanto el robo de identidad como que alguien interceptara la comunicación: la MS (Mobile Station) o estación móvil, el HLR/HSS (Home Location Register) o base de datos del operador, así como el cifrado de datos sobre la interfaz aire entre la MS y la estación base.
El modelo de seguridad de GSM se basaba en el denominado Ki, una clave de 128 bits entre el HLR de la red local del suscriptor y la SIM del usuario, que nunca se enviaba en abierto y resultaba básica para autentificar al MS suscriptor de manera unívoca. A partir de ahí, tras la autentificación, toda comunicación en el interfaz radio se realizaba cifrada mediante diversos algoritmos criptográficos (el A3, A5 y A8, inicialmente).
Pero se calcula que entre 2002 y 2006 los algoritmos de cifrado A5 y A8 se vulneraron cuando la tecnología de procesadores de los ordenadores y sistemas de computación fue lo bastante rápida y manejó los volúmenes de información necesarios.
Una primera reacción para GPRS (2.5 G), cuyo tráfico se basa en paquetes, fue hacer el cifrado en una capa más física aún. Así, además de reforzar los algoritmos, se cifra un tramo más de la red, que entra en la parte radio, un primer tramo de la parte del núcleo. Hasta ahora los ataques al núcleo de las redes móviles no eran comunes, ya que se basaban en tecnología de conmutación de circuitos.
Pero al comenzar el despliegue de las redes UMTS/3G se fue paulatinamente migrando el núcleo a una red cuyo protocolo es IP, lo que supone un gran cambio de cara a la evolución de los servicios que se pueden ofrecer pero también de la vulnerabilidad, ya que atacar este tipo de redes IP se ha convertido en una práctica bastante habitual.
Una idea que se barajó con las redes 3G, además de encriptar interfaces entre los nodos IP del núcleo, fue mejorar la autentificación de usuario en el interfaz aire. Para ello se propuso usar una nueva SIM, que se denominó USIM, que llevaba una clave nueva: K, que a su vez generaba otras dos claves, así como nuevos algoritmos de cifrado, como el F8. Pero si bien esto aumentaba la seguridad, también la complejidad y el tiempo necesario para verificar la identidad de cada MS en la estación o estaciones base radio que les da servicio.
Por ello principalmente, por limitaciones computacionales de los elementos de red que hacían que la movilidad del MS no se gestionara adecuadamente porque los tiempos de cálculo entre la MS y la estación base no eran lo bastante rápidos, esta propuesta de la USIM no se desarrolló en su momento.
Pero, una vez más, la evolución de los sistemas ya está permitiendo que haya la rapidez necesaria y se pueda establecer este nivel de seguridad en el interfaz radio en los sistemas 4G y 5G.
Asimismo, en el núcleo ya en 4G se encripta hasta la señalización que circula por todo el sistema, lo que evita posibles ataques provenientes de redes públicas externas como Internet.