Gran Bretaña: Los procesos de ingeniería de Huawei son "un riesgo para las operadoras"

Gran Bretaña: Los procesos de ingeniería de Huawei son "un riesgo para las operadoras"

El gobierno del Reino Unido advirtió sobre la falta de seguridad en las prácticas del gigante chino, aunque no al nivel de prohibir su uso.

Durante el año 2010, Huawei llegó a un acuerdo con el gobierno del Reino Unido para revisar sus procesos de seguridad y manufactura, con el objetivo de acallar los rumores sobre los riesgos de seguridad en las redes del país.

Ahora, y con una prohibición en Estados Unidos más que segura, un panel neutral del Centro de Evaluación de Ciberseguridad de Huawei (HCSEC, por sus siglas en inglés) llegó a conclusiones no muy alentadoras sobre los estándares de la compañía.

En un reporte publicado hoy, el consejo advirtió que Huawei ha fallado en hacer cambios prometidos hace años al desarrollo de su software y a la ingeniería en su manufactura, cambios necesarios para mejorar la seguridad. En palabras simples, la mayor parte de los equipos podrían ser hackeados por algún experto, considerando las numerosas y diferentes vulnerabilidades presentes.

Gran Bretaña: Los procesos de ingeniería de Huawei son "un riesgo para las operadoras"

De todas maneras, los miembros del consejo no lo consideran un problema tan serio para las operadoras y que todos los problemas podrían ser mitigados; a diferencia del gobierno estadounidense, que insiste en las conexiones entre la empresa y el gobierno Chino, además de las amenazas de espionaje, para prohibir su uso. En palabras del consejo:

En el presente, el panel no ha visto nada todavía para tener confianza en la capacidad de Huawei de completar exitosamente los elementos de su programa de transformación, el que fue propuesto de manera de dirigirse a estos subyacentes defectos.

En general, el panel puede proveer garantía limitada de que todo el riesgo a la seguridad nacional que venga del involucramiento de Huawei en las redes nacionales pueda ser mitigado en el largo plazo.

Este reporte viene de la mano con el anuncio de que Huawei estaría a cargo de un buen porcentaje de la implementación de redes 5G en el Reino Unido. La compañía también ha expresado su interés de entrar a las diversas licitaciones de 5G en el mundo, por lo que este anuncio podría resonar en diversos gobiernos interesados en dar el salto telecomunicacional, como Chile.

Gran Bretaña: Los procesos de ingeniería de Huawei son "un riesgo para las operadoras"

Vulnerabilidades graves

Los conflictos más profundos identificados por el consejo tienen que ver con la falta de consistencia y problemas serios en la administración de sus procesos relativos al software.

Por ejemplo, uno de los problemas graves citado en el reporte es que gran parte de la red de Huawei usa la versión 5.5 del sistema operativo en tiempo real (RTOS) VxWorks, que ya llegó al límite de su vida útil y no tendrá más soporte desde el 2020. La consecuencia inevitable es que mucho hardware instalado por empresas de telecomunicaciones podrían estar en riesgo.

Lamentablemente, y aunque Huawei cambie dicho sistema operativo por alguna de las diferentes opciones existentes, el consejo identificó inconsistencias graves entre imágenes de software. Es decir, productos idénticos que tienen huellas muy distintas, por lo que la comprobación mediante checksums se vuelve inútil.

En otro ejemplo de inconsistencias, el consejo descubrió que Huawei posee "un número incontrolable" de versiones de la librería OpenSSL en sus productos, incluso algunos con vulnerabilidades conocidas. Como resultado de aquello, sería muy difícil determinar que algún bug encontrado en cierta versión del software fue parchado en la siguiente.