A raíz de un toot (Mastodon) sobre un artículo de El País acerca de la polémica con los equipos de Huawei y su presunto espionaje para el gobierno chino, he recopilado información para una reflexión más profunda. La pregunta es: ¿son los equipos de Huawei una amenaza única y real, o simplemente un chivo expiatorio en una guerra comercial?

Contexto

Las noticias sobre el «presunto espionaje» que pueda llevar acabo la empresa Huawei en favor del gobierno de China, no son nuevas ni originadas por la administración Trump -si acaso exacerbadas por interés político.

Se fundamentan en la Ley de Inteligencia Nacional de China (2017), en cuyo artículo Nº 7 especifica lo siguiente:

«Todas las organizaciones y ciudadanos apoyarán, asistirán y cooperarán con los esfuerzos de inteligencia nacional de conformidad con la ley, y protegerán los secretos de trabajo de inteligencia nacional de los que tengan conocimiento»

Esto se interpreta de parte como una obligación para que toda empresa proporcione datos, información e incluso acceso a sus redes y equipos cuando les sea solicita para fines de inteligencia.

Lo que se suele obviar es otro párrafo que aparece a continuación (no es textual):

La aplicación de estas leyes puede afectar a empresas de todo el mundo que operen en China o cuyos productos se vendan allí.

En el redactado de la Ley, no se contempla la extraterritorialidad de la misma. Es decir: que afecte a productos o servicios de empresas chinas ubicados en otras jurisdicciones.

Obviedad 1: que no aparezca en el redactado, no significa que no se pueda obligar a las empresas ha transmitir información de productos y servicios que desplieguen fuera de China.

Obviedad 2: exactamente lo mismo puede suceder con empresas de otros países.

Dicho lo cual, y dado que no se han encontrado pruebas que lo corroboren, se trata de una acusación inferida.

Huawei como empresa

En la actualidad, Huawei es la única empresa en el mundo con patas en todos y cada uno de los segmentos relacionados con las telecomunicaciones:

Teléfonos móviles y tablets
Routers y Switchers domésticos
Routers y Switchers profesionales
OLTs y ONTs (FTTH)
Sistemas WiFi
Switchers N3 para operadoras y backbones
Equipos DWDM para empresas y operadoras
Cámaras de video vigilancia Huawei VCN (Video Cloud Node)
Redes RAN
Estaciones base gNB y Unidad de Radio para telefonía móvil
Todo bajo sus propios sistemas operativos. VRP (Versatile Routing Platform) para el segmento operadoras y backbone

Por tanto, decir que «los equipos» de Huawei hacen tal o cual cosa, es prácticamente no decir nada.

Huawei y la UE

Las sospechas de espionaje se centran principalmente en las redes 5G y en la red troncal (backbone). A ésto habría que añadir informaciones más recientes que también involucran plataformas de videovigilancia y almacenamiento cloud.

A pesar del debate, la cuota de mercado de Huawei en Europa no es dominante, especialmente después de las políticas de la Comisión Europea.

Fabricante	Cuota estimada (%) 5G Europa (2024)
Ericsson	35 al 40%
Nokia	30 al 35%
Huawei	15 al 20%
*Otros	10 al 20%

*Incluye a Samsung, ZTE, Cisco, NEC, Siemens, Bosch, Boldyn.

En referencia a los equipos de la red troncal, el despliegue aproximado quedaría de la siguiente forma:

Fabricante	Cuotas estimadas (routers y switches N3, operadoras Europa, 2025)
Cisco	38 al 45%
Nokia	20 al 25%
Juniper	10 al 12%
Huawei	8 al 12%
*Otros	10 al 15%

*Arista, HPE, otros.

A modo de resumen:

La cuota de mercado de Huawei en la UE se sitúa en un 18% de media en la red 5G y otro 10% de media en la red backbone (troncal o de transporte).

Es muy importante tener estos datos en mente al evaluar el nivel real de la amenaza, en lugar de dejarse llevar por según que narrativas.

Medidas de seguridad en el hardware: Homologaciones

Espiar desde los sistemas hardware es posible en la práctica, inviable en éste tipo de equipos. Y lo es por una serie de trámites a los que se obliga a pasar a toda electrónica: las homologaciones. Aquí se exponen la batería de ellas que han de obtener antes de su puesta en producción:

Marcado CE y Directiva de Equipos Radioeléctricos (RED)

Todos los equipos de redes que emiten o reciben ondas de radio deben llevar el marcado CE. Este marcado indica que el producto cumple con los requisitos esenciales de la Directiva RED 2014/53/UE, que incluye aspectos clave de seguridad, como la protección de la salud y la seguridad de las personas y animales, la compatibilidad electromagnética y el uso eficiente del espectro radioeléctrico. A partir de 2025, la Directiva RED actualizada incluye nuevos y estrictos requisitos de ciberseguridad, como la protección de datos personales y la privacidad.

Esquema Nacional de Seguridad (ENS)

Para los equipos que se utilizan en la Administración Pública, es obligatorio cumplir con el Esquema Nacional de Seguridad (ENS). Este marco normativo español establece los requisitos y estándares para garantizar la seguridad de la información en las administraciones públicas y sus proveedores. El ENS cubre aspectos como la gestión de riesgos, la seguridad en las operaciones, la gestión de incidentes y la continuidad del negocio.

Centro Criptológico Nacional (CCN-STIC)

Relacionado con el ENS, el Centro Criptológico Nacional (CCN) elabora guías de seguridad (CCN-STIC) que complementan y detallan las medidas de seguridad para productos y servicios TIC, incluyendo los equipos de redes. Cualquier equipos utilizado en el ámbito público, como el almacenamiento de datos, deben cumplir con estas guías para ser considerados seguros.

Reglamento General de Protección de Datos (RGPD)

Aunque no es una homologación técnica directa, los equipos de redes deben estar diseñados para cumplir con el RGPD. Esto implica que deben garantizar la protección de los datos personales y la privacidad de los usuarios, algo que la Directiva RED actualizada también busca reforzar.

Certificaciones de ciberseguridad de la Unión Europea

En el marco de la Ley de Ciberseguridad de la UE, se han desarrollado nuevos esquemas de certificación de ciberseguridad, como el EU Cybersecurity Certification Scheme (EUCC). Estos esquemas, de carácter voluntario, certifican la ciberseguridad de los productos de Tecnologías de la Información y Comunicación (TIC) a lo largo de su ciclo de vida, basándose en el enfoque de Criterios Comunes. También existe una certificación específica para las redes 5G, la Certificación de Ciberseguridad EU5G, que se enfoca en la seguridad e integridad de estas redes.

Certificaciones de los operadores de telecomunicaciones

En el caso de los equipos que se instalan en las redes de operadores privados (como Telefónica, Vodafone u Orange), estos suelen someterse a procesos de homologación internos. Estos procesos garantizan que los equipos sean compatibles con sus infraestructuras y cumplan con sus altos estándares de calidad y seguridad, a menudo yendo más allá de los requisitos mínimos legales. Huawei ha superado certificaciones como el Esquema de garantía de seguridad de equipos de red (NESAS) de la GSMA, una certificación respaldada por la industria global de las telecomunicaciones.

No cabe por menos de suponer, que la planta existente de Huawei ha superado de forma satisfactoria todas y cada una de las homologaciones expuestas.

Medidas de seguridad en el Software: Auditorías

Éste aspecto es donde se originan la mayor parte de las «acusaciones» de filtrado de información que ha recibido Huawei. Las famosas «puertas traseras» o backdoors. En esencia consisten en:

Algún tipo de método o mecanismo que permite a un atacante o al propio creador, eludir los controles de seguridad normales para obtener acceso no autorizado a un sistema.

Es un asunto complejo dado que se entremezclan varios factores y no siempre en la misma forma o tiempo:

Para un mismo Sistema Operativo existen diferentes paquetes para ampliar sus prestaciones.
No todos los equipos implicados en un segmento de red comparten una misma versión del Sistema Operativo.
Cada extra y cada versión del Sistema Operativo padece sus propios bugs y vulnerabilidades.
En redes tan amplias, conviven diferentes fabricantes, sistemas operativos, versiones y «parches».

No obstante, se han habilitado una serie de procedimientos para tratar de asegurar la integridad del software: las Auditorías. Aquí se exponen las más habituales:

Auditoría externa o perimetral

Simula ataques desde fuera de la red para descubrir vulnerabilidades explotables remotamente, poniendo a prueba las barreras de seguridad entre internet y la red corporativa.

Auditoría interna

Se realiza desde dentro de la red local o corporativa para evaluar la seguridad interna, considerando accesos legítimos o suplantados.

Auditoría de vulnerabilidades

Identificación de puntos débiles en el sistema operativo y la red mediante escaneos automatizados y herramientas especializadas.

Pruebas de penetración

Simulaciones de ataques reales para encontrar debilidades y vulnerabilidades en los sistemas operativos y redes.

Auditoría de eventos y monitoreo

Registro y revisión de eventos del sistema operativo como inicios de sesión, accesos y actividades sospechosas para detectar incidentes.

Auditoría de control de acceso

Revisión de políticas y mecanismos de autenticación y autorización para asegurar que solo usuarios autorizados acceden a los recursos.

Auditoría forense

Investigación posterior a incidentes para analizar qué ocurrió, cómo y para determinar responsables mediante análisis detallado de logs y evidencias digitales.

Auditoría de cumplimiento normativo y certificaciones

Evaluación para asegurar que el sistema operativo cumple con estándares internacionales como ISO 27001, NIST o Common Criteria, y normativas del sector telecomunicaciones.

Auditoría de configuración y hardening

Verificación de que el sistema operativo está correctamente configurado y endurecido para reducir la superficie de ataque eliminando servicios inseguros u obsoletos.

Auditoría de redes

Evaluación de la seguridad de la infraestructura de red asociada al sistema operativo, incluyendo firewalls, VPNs, switches y puntos de acceso.

Obligatoriedad de las Auditorías

Para garantizar la ejecución de las consideradas como críticas, se habilitaron distintas disposiciones tanto de ámbito europeo como español:

Directiva NIS y NIS2 de la Unión Europea

Directiva NIS (Seguridad de las Redes y Sistemas de Información): Esta fue la primera normativa europea en establecer requisitos de seguridad y notificación de incidentes para los «operadores de servicios esenciales», entre los que se incluyen las operadoras de telecomunicaciones. Su objetivo es garantizar un alto nivel común de seguridad de las redes y sistemas de información en toda la UE.

Directiva NIS2: Esta nueva directiva, que amplía y refuerza la anterior, establece un marco regulatorio más estricto. Amplía el número de entidades críticas y esenciales y les exige implementar medidas de gestión de riesgos de ciberseguridad, así como la obligación de notificar incidentes graves. Los órganos de dirección de las empresas, incluyendo a las operadoras de red, son directamente responsables de supervisar la aplicación de estas medidas.

Normativa española

Real Decreto-ley 12/2018 y Real Decreto 43/2021: Estas leyes transponen la Directiva NIS al ordenamiento jurídico español. Establecen la obligación para los operadores de servicios esenciales y los proveedores de servicios digitales de gestionar y resolver los incidentes de seguridad que afecten a sus redes y sistemas de información. Esto implica la necesidad de contar con sistemas de auditoría para detectar vulnerabilidades y garantizar el cumplimiento.
Ley de Ciberseguridad 5G (Real Decreto-ley 7/2022): Esta legislación se enfoca específicamente en la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. Requiere que los operadores analicen los riesgos de sus redes, lo que implica una constante evaluación de los sistemas, y establece la obligación de que los suministradores garanticen la seguridad de los equipos y software.
Esquema Nacional de Seguridad (ENS): Aunque no es una ley per se, es un marco normativo de obligado cumplimiento para las administraciones públicas y sus proveedores. Muchas operadoras, al ser proveedoras de servicios esenciales para el sector público, deben cumplir con los requisitos del ENS, que incluye auditorías periódicas y análisis de riesgos para garantizar la seguridad de la información.

Conclusiones

Después de todo lo expuesto cabría esperar una respuesta contundente sobre la cuestión inicial:

¿Es posible que se filtre información desde equipos Huawei hacia el gobierno chino?

La respuesta directa es que sí. La matizada es que resulta igual de fácil o difícil que con equipos de otros fabricantes.

O dicho de otra forma:

Todos los equipos de redes suministrados por la empresa Huawei, superan exactamente la misma cantidad y tipo de homologaciones y están sometidos a las mismas auditorías que los suministrados por empresas como Cisco y Juniper (EEUU) o Nokia y Ericsson (UE).

Por más que he buscado no he podido hallar un sólo caso confirmado de filtrado de información desde un equipo o red suministrada por Huawei hacia el gobierno chino. No se puede decir lo mismo de otros gobiernos…

No pretendo «blanquear» a Huawei. La suspicacia es obligatoria cuando se trata de infraestructuras críticas. Sin embargo, también debemos ser ecuánimes y reconocer que las acusaciones actuales parecen estar más motivadas por una guerra comercial que por una amenaza probada y verificada.

¿Espía Huawei para el gobierno chino?