Costa Rica emitió un nuevo reglamento con el cual busca introducir medidas de ciberseguridad en los procesos de despliegue y operación de redes 5G.
Algunos de estos puntos han resultado controversiales porque llevarían al país a prohibir la instalación de equipos provenientes de importantes proveedores de tecnología como China, Corea del Sur y Singapur.
En general, el documento ha sido cuestionado tanto por legisladores como por la propia industria, al considerar que se realizó sin las condiciones requeridas de transparencia y participación, a la vez que impondría una gran presión económica y operativa sobre los operadores si no se ofrece un plan alternativo para asegurar que podrán acceder a los equipos y recursos financieros requeridos para el despliegue de las nuevas redes.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) publicó el decreto ejecutivo N.° 44196-MSP-MICITT que estableció el Reglamento Sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) y Superiores.
Entérate: Grupo ICE ya no podrá participar en la subasta 5G de Costa Rica
Este decreto define los escenarios y riesgos durante los procesos de despliegue y operación de las redes de telecomunicaciones de la nueva generación, entre los que se incluyen desde el uso de equipamiento de baja calidad, una mala configuración, insuficientes protocolos de seguridad, hasta el riesgo que representa para otras infraestructuras críticas.
Dentro de estos escenarios, destaca el punto tres que define el riesgo relacionado con el modus operandi de los agentes de riesgo, el cual considera “intromisiones por parte de Estados a través de la cadena de suministro de la 5G, cuando esto pueda comprometer la seguridad, disponibilidad, integridad y privacidad de la información”.
El punto controversial se encuentra específicamente en el inciso ‘e’ del artículo 10, donde se identifica como “riesgo alto” que los operadores utilicen equipo de proveedores “que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia”, también conocido como el Convenio de Budapest.
Este convenio fue uno de los primeros acuerdos multilaterales para la colaboración en ciberseguridad, firmado en 2001 en Budapest, Hungría, y que se encuentra en vigor desde 2004.
Costa Rica lo adoptó como ley a partir del 2017. Y aunque 66 países lo han ratificado, destaca la ausencia de algunos como China, Corea del Sur, Taiwán y Singapur, además de países de la región como México –como invitados y observadores–, que participan en la cadena de suministro de hardware y software para redes de telecomunicaciones.
La exigencia de cumplimiento en estas condiciones elevaría la complejidad de provisión de equipo de telecomunicaciones para el sector costarricense, al eliminar la posibilidad de obtener equipamiento de otros países con lazos comerciales a Costa Rica, de aquellos con importante participación en la cadena de suministro, e incluso acceder a compañías proveedoras que cuentan con amplia experiencia en la región como la china Huawei, u otros emergentes en el equipamiento de red como la surcoreana Samsung.
La Cámara de Infocomunicación y Tecnología (Infocom) advierte en una carta enviada al Micitt, que “las redes móviles operan a gran escala y cualquier restricción en la cadena de suministro tiene efectos en el mercado y repercute en los usuarios finales. Por lo tanto, es fundamental considerar los impactos en toda la industria, antes de tomar decisiones que pueden derivar en retrasos tecnológicos, y afectación de precios y condiciones para los usuarios finales, personas y empresas”.
La Cámara criticó también que se incluyera el Convenio de Budapest en el Reglamento, al señalar que no se trata de un estándar de ciberseguridad, que es un documento el cual se firmó hace más de 20 años cuando apenas iniciaba el 3G y se limita a recomendar una tipificación legal estándar de crimen cibernético.
También lee: Subasta 5G en Colombia debe asignar bloques de 100 MHz en banda 3.5 GHz: Archila
Legisladores de la Unidad Social Cristiana cuestionaron el reglamento publicado por el Micitt, al considerar que estaría motivado principalmente por motivos geopolíticos, y que podría afectar no sólo el despliegue de redes futuras de telecomunicaciones, sino también la operación actual de redes dada la amplia participación de Huawei en el mercado costarricense.
El presidente de Costa Rica, Rodrigo Chaves, ha buscado una colaboración comercial y política más cercana con los Estados Unidos, proponiendo incluso sumar al país centroamericano al Tratado de Libre Comercio entre México, Estados Unidos y Canadá (TMEC).
Por su parte, el Micitt rechaza que se trate de “motivación política” y afirma que es un asunto principalmente técnico, con el que se busca resguardar la seguridad de los ciudadanos.
“Los operadores y proveedores en Costa Rica tienen la obligación de garantizar el derecho a la intimidad, la libertad y el secreto de las comunicaciones, así como de proteger la confidencialidad de la información que obtengan de sus clientes o de otros operadores. Esto implica que los operadores deben implementar medidas adecuadas de seguridad de la información para prevenir el acceso no autorizado a la información de los usuarios y evitar la filtración de datos sensibles”, según se lee en el documento de análisis Ciberseguridad en Redes 5G realizado por el Micitt.
Durante la más reciente visita de Chaves a la Casa Blanca, “el presidente Joe Biden elogió el compromiso de Costa Rica de utilizar proveedores confiables en la próxima licitación y convocatorias vinculadas con 5G”, según informó la embajada de los Estados Unidos en Costa Rica.
El presidente costarricense se comprometió también a participar en la formación de una cadena de valor de semiconductores más resiliente, diversificada y segura, así como a una mayor cooperación en materia de ciberseguridad, mediante la construcción de un centro nacional de operaciones de ciberseguridad, con ayuda de los Estados Unidos.
En ese sentido, la inclusión de estas medidas en el Reglamento recién publicado habría surgido como una manera de adherir a Costa Rica al programa de “Red Limpia”, impulsado por los Estados Unidos, mediante el cual se busca prohibir la participación de China en el despliegue de redes de telecomunicaciones en países socios y aliados.
A pesar de los esfuerzos del gobierno norteamericano en la región, hasta el momento ningún otro país de América Latina se ha sumado oficialmente al programa de Red Limpia, salvo Brasil, que prohibió parcialmente la participación de Huawei en la red privada nacional.
Por un lado, Estados Unidos no ha logrado presentar pruebas contundentes de que proveedores chinos hayan estado involucrados en labores de espionaje u otros incidentes de seguridad. A la vez que Huawei ha negado en diversas acusaciones como la posible instalación de “puertas traseras” en sus equipos que pudieran representar una vulnerabilidad.
Relacionado: Estados Unidos nunca dio pruebas al IFT sobre presunto espionaje chino: Adolfo Cuevas
El alto costo de la prohibición
Las autoridades latinoamericanas reconocen que existe un alto costo económico si se llegara a implementar la prohibición de equipo de ciertos proveedores, tanto en términos de una menor competencia por la reducción en el número de proveedores, así como por la prohibición directa de fabricantes que ofrecen un portafolio de productos y servicios a precios competitivos, esenciales para mantener la asequibilidad de los servicios.
Pese a las acusaciones y restricciones comerciales, Huawei se mantiene como el principal fabricante de equipo de telecomunicaciones del mundo con una cuota de mercado del 28.6 por ciento en la primera mitad de 2023, superando ampliamente a Nokia (15.3%) y Ericsson (12.5%), según estimaciones de la consultora Dell’Oro Group.
En ese sentido, otros países como Canadá, el Reino Unido, Alemania y hasta Estados Unidos, entre otros, han tenido que enfrentar altos costos a partir de la prohibición de proveedores, tanto en términos económicos por el reemplazo de equipo instalado, como por el costo de oportunidad ante el retraso al despliegue de redes 5G y el acceso a equipamiento actualizado.
Tras la prohibición de operadores de origen chino, el gobierno estadounidense se vio obligado a subsidiar con hasta 1.9 mil millones de dólares un programa para remover y reemplazar los equipos ya instalados en decenas de redes públicas del país, principalmente de operadores rurales.
En el Reino Unido, los operadores de telecomunicaciones estimaron que la prohibición en contra de Huawei podría retrasar los beneficios de una red nacional 5G por un periodo de hasta dos años, con un costo económico de entre 4.5 mil millones y 6.8 mil millones de libras.
En Alemania, se estima que el operador ferroviario nacional, Deutsche Bahn, tendría que invertir cerca de 400 millones de euros para reemplazar componentes de Huawei a lo largo de su red, según informó recientemente el diario Spiegel.
Para Costa Rica no será diferente. Según el diario El Mundo, se estima que Huawei está presente en alrededor de un 70 por ciento de la infraestructura 4G del país. En particular, la empresa pública Instituto Costarricense de Electricidad (ICE), que opera bajo la marca Kölbi, destinó cerca de un 40 por ciento de sus contrataciones a Huawei tan sólo en 2023, con lo que suma cerca de 50 mil millones de colones (93.5 millones de dólares) invertidos en equipamiento del fabricante chino en los últimos 10 años.
La prohibición impuesta de usar equipo de este proveedor significa que el ICE se podría ver obligado a reemplazar este equipo para poder avanzar con la instalación de nuevas redes 5G, que de manera inevitable retrasará la llegada de esta tecnología al país, y elevará significativamente su costo de despliegue.
A diferencia del resto de países que han impuesto restricciones a la entrada de ciertos proveedores, Costa Rica no ha presentado ningún plan que brinde alternativas financieras para el reemplazo de los equipos, el acceso a nuevos proveedores, o ni siquiera el plazo que dé certidumbre a los operadores respecto a la operación de equipos ya instalados.
Al respecto, el Infocom agrega que el Reglamento “impone limitaciones y restricciones para los operadores, en cuanto al diseño de sus redes y escogencia de sus proveedores. No se infiere un criterio claro para diseñar el modelo de diversificación y planificación de la red que cada operador debe seguir, lo cual además resultaría intrusivo en su proceso; por lo que la regulación carece de seguridad jurídica y técnica en el eje de sus disposiciones”.
Esto es relevante, en medio de un contexto de tendencia decreciente de los ingresos de los operadores por venta de servicios al consumidor, ingresos promedio por usuario (ARPU) bajos de aproximadamente 9 dólares, y el reto de inversión que representa el despliegue de 5G.
Datos de la propia Superintendencia de Telecomunicaciones (Sutel) revelan que los ingresos del sector de telecomunicaciones en 2022 reportaron un retroceso del 0.1 por ciento a 1.36 mil millones de dólares. En parte, esto ha provocado que la participación del sector en el PIB nacional se haya reducido también en 0.1 puntos porcentuales a un 1.9 por ciento.
En el caso de los ingresos por Internet móvil, aunque estos reportaron un alza de 2.7 por ciento en el 2022 hasta los 261.8 mil millones de colones (489 millones de dólares), estos aún se ubican por debajo de lo registrado en 2019 cuando la industria reportó 265 mil millones de colones.
Según información de GlobalData, se espera que los ingresos del sector de telecomunicaciones disminuyan a una tasa compuesta anual del 0.5 por ciento entre el 2021 al 2026, debido a la pérdida de ingresos en televisión de pago, voz móvil, voz fija y mensajería móvil.
Por el momento, Huawei, que aunque sería el principal proveedor afectado pero no el único, ya presentó un recurso de amparo ante la Sala Constitucional de Costa Rica en contra del ICE por una posible exclusión de la licitación para desplegar redes 5G. Según la compañía, se busca “defender el derecho constitucional a la igualdad y no discriminación”, así como “proteger a la industria y ciudadanos de Costa Rica”.
Aunque en principio es un movimiento positivo que se busquen introducir medidas de ciberseguridad desde el diseño de las redes 5G, también se debe buscar que estas medidas sean justificadas, basadas en estándares, en línea con la neutralidad tecnológica, independientes de motivaciones políticas y, de esta forma, no se conviertan en una carga onerosa para la industria que al final introduzcan un nuevo riesgo al retrasar la evolución tecnológica del país.