Estados Unidos, a través del Comité de Inteligencia de la Cámara de Representantes, ha denunciado que España “pone en peligro su seguridad nacional” por el uso de la compañía china Huawei para gestionar y almacenar las escuchas telefónicas autorizadas judicialmente en el país. Ante la alarma en Washington, en Artículo14 preguntamos a Natasha Buckley, investigadora del Royal United Services Institution (RUSI) y profesora de la Universidad de Cranfield.
Para la experta en ciberseguridad, “sin duda, el almacenamiento de comunicaciones interceptadas legalmente, se trata de un caso de uso de alta sensibilidad“.
Preguntas y respuestas
-En Estados Unidos, el presidente del Comité Permanente de Inteligencia de la Cámara de Representantes, Rick Crawford, ha afirmado que “España está jugando con fuego al poner en peligro su seguridad nacional y la seguridad de sus ciudadanos. Al aprovechar a un agente conocido del Partido Comunista Chino (PCCh) para recopilar y almacenar cantidades ingentes de datos sensibles, España se ha vuelto vulnerable a amenazas claras para la seguridad y la soberanía no solo de sí misma, sino también de sus aliados en todo el mundo”. ¿Se puede considerar a Huawei un agente del PCCh?
-Yo no utilizaría esa etiqueta. En virtud de la Ley de Inteligencia Nacional de China (2017), respaldada por sus leyes de seguridad de datos y ciberseguridad, se puede exigir a las organizaciones chinas, incluidas las empresas privadas, que apoyen la labor de inteligencia del Estado y mantengan la confidencialidad de esa cooperación, lo que incluso se incentiva. Este entorno legal crea una vía potencial para que el Gobierno chino acceda a datos o información técnica, independientemente de lo que prefiera la dirección de una empresa determinada. Por lo tanto, se trata de un gran riesgo. Sin embargo, en lugar de etiquetar, una consideración más matizada podría ser: ¿qué medidas de seguridad operativas se han puesto en marcha para que no se pueda acceder a los datos sensibles ni trasladarlos sin el conocimiento de España?
-En ese sentido, ¿el contrato de España con Huawei para gestionar las escuchas telefónicas de inteligencia supone un riesgo para los españoles y para nuestros aliados?
-Sin duda, se trata de un caso de uso de alta sensibilidad, el almacenamiento de comunicaciones interceptadas legalmente. El riesgo depende de la implementación. Entre los factores clave se incluyen: el cifrado en reposo y quién posee las claves, la segregación de la red de los canales de soporte del proveedor, la garantía del firmware y las actualizaciones, la supervisión de accesos anómalos y las limitaciones del mantenimiento remoto. España afirma que estas implementaciones cumplen con sus directrices ENS y CCN STIC, que son marcos de control rigurosos, pero sigue siendo razonable que los socios soliciten pruebas de garantía antes de que la inteligencia sensible compartida llegue a esos sistemas.
-¿Existen otras opciones en el mercado que no provengan de un servidor chino?
-Sí, el mercado del almacenamiento empresarial está muy activo. Dell, IBM, AWS, Google y otros suministran almacenamiento empresarial de alta disponibilidad, algunos de los cuales se utilizan en contextos gubernamentales y de defensa. El problema suele ser el coste, junto con el rendimiento y el estado de la certificación. Si los sistemas alternativos aún no se han probado y aprobado en el catálogo CPSTIC de España para el nivel de clasificación requerido, su sustitución no es ni rápida ni barata. Sin duda, Huawei ofrecía una opción muy interesante.
-¿Puede este contrato tener consecuencias dentro de los miembros de la OTAN? ¿Existe una cláusula de seguridad entre los miembros?
-Lo único que puedo decir es que no creo que la OTAN mantenga una lista pública de proveedores prohibidos para toda la Alianza. Pero sí creo que Huawei está explícitamente citada como fuera de los límites para las adquisiciones de comunicaciones financiadas por la OTAN.