3 With Great Power Comes Great Responsability 21 February 2018

Un nuevo modelo de confianza

para la era 5G
La era 5G promete ofrecer una gran variedad de modelos de negocio nuevos para los usuarios
empresariales y el ecosistema de operadores de redes móviles (MNO), los proveedores de la
nube y demás proveedores que les prestan servicio. Algunos de los requisitos que imponen los
casos de uso nuevos e interesantes de la tecnología 5G a las áreas de almacenamiento,
computación y red introducen riesgos nuevos y considerables para la confidencialidad, la
integridad y la disponibilidad de los datos empresariales. Este Informe Técnico proporciona las
recomendaciones de Gemalto al ecosistema 5G sobre cómo se pueden transitar estos desafíos
para construir un modelo de confianza nuevo para la era5G.
La oportunidad 5G –
La mirada desde la empresa
promete poner un conjunto fenomenal de capacidades en manos de empresas
públicas y privadas en todos los mercados verticales de la industria.
En comparación con los servicios 4G ofrecidos hoy en día que, por lo general,
son estándar, el ecosistema 5G brindará a las organizaciones oportunidades,
flexibilidad y opciones sin precedentes en cuanto a las herramientas de red que
pueden usar para capturar y almacenar datos, y luego recopilar información
para dirigir sus operaciones digitales.

La cartera de acceso 5G permitirá a los dispositivos del IoT
generar e intercambiar una variedad de diferentes tipos de
datos de alto y bajo valor a escala y en puntos de bajo costo
a los que lared 4G sola no puede llegar. Cada generación de
celulares trae una red de acceso de radio (RAN) de mayor
capacidad que permite que los mismos datos se transmitan
más rápido. La 5G New Radio (NR) de 3GPP también lo hace,
pero, esta vez, la tecnología 5G también aprovecha otras
adicionales, como Wi-Fi, y el segmento del IoT masivo 5G se
basa en los nuevos estándares NB-IoT, cuyas características
de rendimiento están optimizadas para una variedad de
nuevos casos de uso del IoT.
A medida que los operadores de telecomunicaciones
adopten modelos operativos basados en la nube - incluso
hospedados en la nube - y "edge computing", la tecnología
5G proporcionará una plataforma sin precedentes para el
funcionamiento automatizado sin contacto de la red, la
personalización de los servicios de red y el rendimiento
superior de las aplicaciones empresariales.
Las capacidades de segmentación de red de la tecnología 5G
permitirán a las empresas tener sus propias redes 5G
autónomas, cada una personalizada según los requisitos
únicos de la empresa y respaldada por un SLA.
Otro aspecto destacable de la tecnología 5G será la
capacidad de reducir la latencia ultrabaja por debajo de los 5
milisegundos, lo que requerirá una arquitectura de red
altamente distribuida. No hay nada en los estándares de
3GPP que obligue a la red 4G de hoy en día a ser centralizada
y aprovisionada manualmente como la mayoría de las veces.
Es solo que los habilitadores clave de la distribución, la
virtualización de funciones de red (NFV) con una
infraestructura de NFV automatizada y orquestada (NFVI) y el
edge computing de acceso múltiple (MEC) apenas están
comenzando a implementarse a escala. La automatización y
la orquestación de una red más distribuida sigue siendo
opcional para el 4G, pero fundamental para el 5G.
La mayor oportunidad disponible para las empresas de 5G
es la información derivada de la combinación de análisis,
aprendizaje automático e Inteligencia Artificial con las
capacidades únicas de la red 5G. La mayoría de las
empresas querrán aprovechar la tecnología 5G para
capturar, mover y almacenar datos. Una ventaja competitiva
sostenible espera a aquellas empresas que luego apliquen el
análisis a los datos en ubicaciones óptimas paraimpulsar
eventos automatizados en las operaciones empresariales
diarias y en la vida cotidiana de los consumidores.

Integradores
de sistemas
Este informe técnico toca las oportunidades
de la tecnología 5G. Sin embargo, en lo que
se enfoca es en el tejido de confianza que
necesita apuntalar el ecosistema 5G.
En particular, se centra en los requisitos de UN NUEVO
soporte para la seguridad del sistema 5G y MODELO DE
la protección de datos; los servicios del IoT; Operadores Proveedores
CONFIANZA
móviles de la nube
la autenticación y la autorización de los PARA REDES
dispositivos finales, la conectividad y la 5G
monetización de software que se
necesitarán para capturar completamente
esas oportunidades y llevarlas de la teoría a
lapráctica.
Proveedores
de red
Los nuevos desafíos de la protección de datos
Si bien la era 5G está llena de nuevas oportunidades,
también está cargada de nuevos riesgos. En el caso de todas
las generaciones celulares anteriores, incluido el 4G, el
mayor riesgo para los datos empresariales sigue siendo el
mismo: la confidencialidad se ve comprometida por la
interceptación de comunicaciones de voz o datos en la capa
de transporte o el acceso no autorizado a un conjunto
disponible universalmente de servicios de red de talla
única.
Aprovechando la autenticación basada en tarjetas SIM y el
cifrado en RAN, transporte y core, la tecnología 4G ha
ampliado el excelente historial de protección de la industria
celular frente a estas amenazas tradicionales que se
entienden bien.
Casi diez años después del lanzamiento del 4G, el 5G será la
primera generación celular en lanzarse en la era del
cibercrimen global que está fuertemente financiado por el
crimen organizado y los estados nación. Esta es una era en
la que exactamente el mismo software que ha contribuido
tanto a impulsar la economía digital en los últimos diez años,
también se está armando de forma rutinaria para robar,
exponer, comprometer o bloquear el acceso a
los datos ya sea en uso, en reposo o en movimiento.
La mayoría de las empresas tienen muchos años de
experiencia en la evolución de sus estrategias de protección
de datos mientras capturan las oportunidades de
virtualización y "nubelización" de la infraestructura de TI
impulsadas por los proveedores globales de servicios en la
nube, como Google, AWS y Microsoft. Y, sin embargo, a pesar
de la inversión de miles de millones de dólares en
seguridad de datos, parece que apenas pasa un día sin que
los titulares de las páginas principales de los medios
apunten a una filtración de datos corporativos a gran escala,
con enorme impacto sobre el propio negocio, sus empleados,
clientes, proveedores e inversionistas. Como se muestra en
el Índice de Nivel de Filtración de Gemalto, los registros de
datos mundiales se pierden o son
robados a razón de casi cinco millones por día.
(http://breachlevelindex.com/)
Entonces, si bien miran hacia el ecosistema 5G de los
principales operadores de telecomunicaciones, proveedores
de la nube, proveedores e integradores de sistemas para
ayudar a comprender las oportunidades del 5G, las
empresas también esperan orientación de ese mismo
ecosistema sobre cómo comprender y mitigar los nuevos
riesgos que pueda plantear la arquitectura 5G a
su postura de seguridad de datos.
Sin duda, la arquitectura 5G plantea nuevos riesgos para la
seguridad de los datos empresariales. Irónicamente, muchos
de estos nuevos riesgos toman la forma de la otra cara (o de
ladesventaja) de las mismas características del 5G que crean
tantas de las nuevas oportunidades.
Desde la perspectiva de la red 5G del operador de telecomunicaciones, hay cuatro nuevos
desafíos que valen la pena destacar en particular:

Con NFV, cada función de red ya no reside
en su propia plataforma de hardware
propietaria, donde este aislamiento físico
proporciona un alto nivel de protección.
En cambio, ahora reside en el software
como una Función de Red Virtual (VNF)
que se ejecuta en Máquinas Virtuales
(VM) junto con otros tipos de VNF, todos
comparten el mismo hardware de
servidor estándar. Si no se protege, existe
un alto riesgo de que las VNF interfieran
entre sí o de la contaminación cruzada
del malware de una VM o VNF a otra, lo
que da como resultado la pérdida de
datos. Algunos operadores líderes ya
Algunos casos de uso del IoT
potencialmente populares suponen la
LA TRANSICIÓN A COMPARTIR recopilación y el almacenamiento de
LA RECURSOS ENTRE datos en la periferia de la red, así como la
VIRTUALIZACIÓN EL OPERADOR DE aplicación del análisis a esos datos
DE LAS TELECOMUNICACIONES periféricos. Esto crea un escenario en
FUNCIONES DE Y LA gran parte sin precedentes en el cual las
RED (NFV) EMPRESA limitaciones de costos y espacio pueden
requerir que las VNF del operador de
telecomunicaciones y el propio software
de datos y análisis de la empresa
necesiten compartir el mismo hardware
físico. Los mismos tipos de aislamiento
que se requieren dentro del propio
contexto de red del operador de

4
están desplegando contenedores y otros telecomunicaciones también serán
seguramente los seguirán. necesarios entre las propias instancias
de análisis de la empresa y las VNF del
operador de telecomunicaciones.

DESAFÍOS PARA LA
RED 5G DEL
OPERADOR DE
TELECOMUNICACIONES

Para ofrecer la latencia ultra baja Debido a la forma en que el 5G y la

requerida por muchas aplicaciones 5G,
las funciones de red deben ser
entregadas en la periferia de la red. Esto
presenta desafíos adicionales además
del desafío de transición de NFV base
mencionado anteriormente. Por ejemplo,
los sitios remotos tienen menos
protecciones físicas que los centros de
datos centralizados. Las consideraciones
de costo o rendimiento también pueden
requerir que los datos recopilados se
almacenen aquí en lugar de
transportarse a una ubicación más
central que ya ofrece un alto nivel de
seguridad. Esos datos almacenados
localmente deberán almacenarse de
formasegura.
virtualización permiten que las
aplicaciones y los servicios se distribuyan
DISTRIBUCIÓN DE
LAS FUNCIONES DE de manera muy rápida y a un costo menor,
la automatización "zero trust" tiende a
RED, AUTOMATIZACIÓN
ALMACENAMIENTO "ZERO-TOUCH" considerarse principalmente como una
oportunidad. El lado negativo, que recibe
Y COMPUTACIÓN A
LA PERIFERIA menos atención, es que desde el punto de
vista de la protección de datos, la
automatización "zero touch" propaga los
resultados arriesgados o incluso
peligrosos tan rápido como propaga los
beneficiosos. En un entorno "zero touch",
las estadísticas corruptas derivadas de
dispositivos comprometidos activarán
automáticamente los eventos incorrectos,
que tendrán consecuencias negativas o
incluso graves, según el caso de uso. Un
alto nivel de automatización también es
muy útil para la distribución de malware,
así como para la propagación de datos
filtrados.

En la era 5G, muchas de las suposiciones tradicionales en torno a la seguridad de los datos ya no son válidas. Las protecciones
de seguridad tradicionales entre el dispositivo final y la radio 5G siguen siendo necesarias, pero ya no son suficientes. Gran parte
del tráfico 5G no solo se destinará al núcleo 5G sino que se dirigirá a plataformas analíticas alojadas que podrían ubicarse tan
fácilmente a pocos metros del punto final que lo originó como a varias millas de distancia en un centro de datos. Para controlar
la confianza de la empresa, la seguridad 5G deberá combinar la seguridad subyacente salto por salto, como el cifrado
incorporado en la interfaz de radio 5G NR y la protección de integridad con protección de punta a punta del dispositivo a la nube.

El próximo capítulo describe las soluciones que deben implementarse para brindar a las empresas la confianza subyacente que
necesitan en el ecosistema 5G. En los capítulos siguientes se analizan las formas en que los servicios del IoT, las soluciones de
conectividad y las capacidades de autenticación pueden apoyarse en esa plataforma para impulsar el ecosistema 5G y
aprovechar su enorme potencial.
 Softwarization Moving the intelligence
of the network towards the edge

Softwarización
de la red Integración de redes de
acceso local nuevas y
Moviendo la inteligencia existentes
hacia la periferia

NUBE PERIFERIAS
CENTRAL Red de área METRO EDGES UE
LOCALES
amplia backhaul
fija o móvil Red de acceso
local

Creando un tejido de confianza en las redes 5G

Debido a la forma en que los datos empresariales se integran junto con las funciones de red en el núcleo y la periferia
distribuida de la red 5G, las protecciones deben integrarse en la red y ponerse a disposición de las empresas para
brindarles el tejido de confianza que necesitan para desbloquear altos niveles de inversión en nuevos casos de uso 5G.
Los controles de seguridad tradicionales aplicados a los datos en tránsito dentro del núcleo también deberán aplicarse a los
datos en tránsito entre la nube periférica (por ejemplo, un vehículo autónomo que pasa entre dos nodos periféricos remotos),
así como entre la periferia y el núcleo.

Cualquier segmento dado deberá ser completamente autónomo desde una perspectiva lógica,
incluso si comparte la misma infraestructura física subyacente.

Las empresas necesitarán la opción de requerir autenticación en todos y cada uno de sus
segmentos de red. También necesitarán la opción de autenticarse en un segmento, que ellos o un

5
tercero de confianza como un operador de telecomunicaciones alojaría, seguido de la
autorización en otros segmentos.

Debe haber una garantía de aislamiento de cada segmento único y cada VNF único dentro de cada
segmento. Un VNF que se inicia en un segmento determinado necesita funcionar únicamente
PRINCIPIOS dentro de ese segmento, sin posibilidad de alejarse y obtener acceso a otro segmento.
CLAVE PARA
CREAR UN Para obtener confianza como proveedores de servicios de alojamiento y análisis, así como de
TEJIDO DE proveedores básicos de conectividad, los operadores de telecomunicaciones deberán demostrar
CONFIANZA EN el aislamiento de los VNF dentro de un segmento encargado por los datos y las aplicaciones de la
empresa.
LA Esto es para asegurar que no puedan ver los datos de la empresa. Las empresas esperarán ver
SEGMENTACIÓN estas competencias demostradas no solo en el núcleo virtualizado, sino también en la periferia,
donde las limitaciones de recursos distribuidos pueden hacer esto más desafiante.
DE LA RED
Para una elasticidad máxima, indudablemente habrá demanda de VNF que no tienen estado.
Esos casos requerirán necesariamente almacenamiento localizado por segmento en la periferia
de la red que requerirá protección.
Las empresas exigirán estos requisitos a los operadores de telecomunicaciones, a los proveedores de la nube y a los
proveedoresresponsables de construir este nuevo tejido de confianza. El resto de esta sección describe las capacidades clave
que estos proveedores de infraestructura primaria deberán implementar en la red para cumplir con esos requisitos, a saber:

6 capacidades clave para crear redes 5G virtualizadas de confianza

CIFRADO -CONTROLADO POR EL

CLIENTE- DE LAS VM O LOS
CIFRADO DE LA BASE DE DATOS ALMACENADA
CONTENEDORES QUE SE EJECUTAN EN
LA RED

GESTIÓN CENTRALIZADA DEL

CICLO DE VIDA DE LAS CLAVES DE ENCLAVES SEGUROS EN LA PERIFERIA
CIFRADO

CIFRADO DE LATENCIA ULTRA BAJA PARA

LA RAÍZ DE CONFIANZA MÁS SEGURA EL TRANSPORTE ‘ANYHAUL’

Cifrado controlado por el cliente de las VM o los

contenedores que se ejecutan en la red

Uno de los componentes clave de una arquitectura 5G confiable
es la integridad de la infraestructura virtualizada y la
confidencialidad de los datos que fluyen dentro de ella. En un
entorno de red heredada impulsada por servidores físicos
únicos dedicados a cada función de red, es poco probable que el
personal de operaciones logre desconectar un servidor y salir
del centro de datos del operador con él. Sin embargo, si
virtualiza esa infraestructura y simplemente copia un archivo de
una VM o VNF sin protección en un dispositivo USB, un
empleado deshonesto o un intruso tiene muchas más
posibilidades de llevar a cabo una filtración de datos.
Los proveedores de la nube y sus clientes corporativos han
estado asegurando una infraestructura altamente automatizada
y virtualizada a gran escala en la nube durante muchos años,
desde la protección de la propia infraestructura del proveedor
de la nube, a empresas que protegen cargas de trabajo
sensibles y quecumplen con requisitos como el de la GDPR.
El sector de las telecomunicaciones está recuperando terreno
ahora, con muchos operadores móviles que están invirtiendo
actualmente en estas medidas mientras virtualizan sus
infraestructuras 2G, 3G y 4G existentes. Sin embargo, las
medidas para proteger la infraestructura virtualizada que se
encuentran en sus inicios tendrán que llegar a su madurez
cuando se lance el 5G.
El mejor garante de la confidencialidad y la integridad en la
infraestructura virtualizada es el cifrado controlado por el
cliente de las máquinas virtuales o los contenedores que se
ejecutan en la red mediante el cifrado de las instancias de
contenedores o de VM individuales. Las máquinas virtuales
individuales y el almacenamiento deben aislarse mediante el
cifrado del sistema operativo y las particiones de datos. Y solo
debería ser posible que una instancia de VM se inicie después de
la autenticación y la verificación de integridad en las etapas
previas y durante el inicio.

Soluciones de gestión de cifrado para la gestión

centralizada del ciclo de vida

Cifrar cada instancia de software virtualizado es un primer paso
muy importante, pero se deben tomar pasos adicionales. En
términos de seguridad, eso es lo mismo que cerrar la puerta de
entrada pero luego dejar la llave debajo de la alfombra.
La gestión centralizada del ciclo de vida de las claves de
cifrado es un acompañamiento crítico para el cifrado inicial de
las máquinas virtuales. El ciclo de vida completo de una clave
de cifrado determinada debe gestionarse desde el momento en
que se genera y registra por primera vez, a través de la
distribución de almacenamiento y la rotación, hasta su
destrucción final. Este ciclo de vida de esa clave debe
administrarse de acuerdo con la política específica que la
organización elija, aplique e imponga. Y la gestión debe
centralizarse en un dispositivo virtual reforzado, resistente a
manipulaciones, para garantizar la protección y el control de los
datos en reposo y en uso. Además de gestionar el ciclo de vida
de las claves de cifrado, las soluciones de administración
también deberían poder administrar otras funciones de
protección de la confidencialidad de los datos, como las
operaciones de cifrado en bases de datos, archivos y carpetas
localizados central o remotamente.
 La raíz de confianza más segura
En el corazón de un entorno informático o de red de confianza,
siempre debe haber una raíz de confianza: un conjunto de
funciones en las que el sistema operativo o los sistemas
confían de forma inherente. La única pregunta es si debe
aprovisionarse por sí mismo en el software o por medio de un
Módulo de Seguridad de Hardware (HSM).
Se puede pensar que un HSM es el ancla de confianza más
segura en un mundo digital. Es un sistema de hardware
dedicado, optimizado para el procesamiento criptográfico, que
asegura física y lógicamente las claves criptográficas y el
procesamiento criptográfico que permiten a los nodos o
puntos finales de cualquier red confiar en la integridad de los
datos que se les presentan. El acceso a un HSM puede
autoaprovisionarse en hardware mediante un HSM dedicado.
Hoy en día también se puede comprar como un servicio de un
proveedor especialista que venda acceso a HSM como servicio.
Mientras que las industrias de telecomunicaciones e
informática parecen estar implacablemente a favor de la
primacía del software, la mayoría de las empresas de
telecomunicaciones ya usan dispositivos HSM en sus centros
de autenticación, debido a la seguridad de alto nivel, validada
por FIPS y con certificación de Criterios Comunes. Algunos
también los usan para apuntalar la autenticación de
certificación para la seguridad LTE. También es notable que la
mayoría de los proveedores de grandes nubes continúan
reconociendo el valor que una raíz de confianza basada
en hardware puede ofrecer a las empresas que desean ser
líderes en protección de datos. Los proveedores de la nube,
como AWS y Microsoft Azure, ofrecen recursos de HSM a sus
clientes en forma de productos de hardware dedicados
implementados en las instalaciones, al igual que Gemalto con
Data-Protection On Demand que funciona en un modelo
"como servicio" y es independiente de la nube. Aquellos que
están en condiciones de sentar las bases del ecosistema 5G
deben preguntarse si también deben seguir el mismo camino
o si las alternativas basadas en software disponibles serán
suficientes.
La elección es bastante clara: la raíz de confianza que
proporciona un HSM crea el ancla para la cadena de
confianza más segura posible en el corazón del ecosistema
5G.
Las soluciones puras basadas en software son
suficientemente buenas para algunos casos de uso, pero no
son más que eso. Invitan innecesariamente a correr riesgos en
comparación con la seguridad superior que ofrece un HSM.
"Una raíz de confianza basada únicamente en software es muy
4 RAZONES POR LAS QUE UN HSM OFRECE
UNA RAÍZ DE CONFIANZA SUPERIOR
Es a prueba de manipulaciones. Si se manipula, el
dispositivo se apagará y las claves serán inaccesibles.
Tiene su propia seguridad (detección de intrusos y
firewall) desde el diseño.
Dado que el hardware está optimizado para el
procesamiento criptográfico, no pondrá en peligro los
objetivos 5G de latencia ultrabaja.
Cuenta con certificación de seguridad de fábrica.
diferente, ya que no está certificada en seguridad.
No se instalará de inmediato. Los diferentes componentes de
software, incluido el software de detección de intrusiones y
firewall, deben ensamblarse e integrarse con un servidor listo
para usar por la misma organización usuaria. Además, la
solución autoensamblada no está optimizada para
criptografía, por lo que puede poner en riesgo los objetivos de
latencia de 5G. Y la certificación de seguridad debe
obtenerse independientemente, lo que puede ser costoso y
consumir mucho tiempo.
Otro atributo del software es su portabilidad.
En consecuencia, existe un riesgo mayor con una solución de
solo software en la cual las claves residirán en varios
servidores diferentes en varias ubicaciones diferentes. Esta
característica de múltiples ubicaciones se agregará a la
complejidad administrativa y las posibles fallas en la
administración del ciclo de vida. Si no se puede garantizar la
coherencia, la prevención de intrusiones y el control de
acceso en la capa protectora del host del software, como el
firewall, aumenta el riesgo de que las claves se vean
comprometidas. En el caso de los HSM dedicados, las claves
comúnmente se almacenan en un solo dispositivo. En un
modelo "como servicio", las claves de cada organización se
almacenan en un dominio con particiones segurasdentro del
HSM
 Cifrado de la base de datos almacenada

Los datos no solo son vulnerables cuando están en uso y en
tránsito, sino que también son vulnerables en reposo.
De hecho, algunas de las filtraciones de datos empresariales
más recientes y de alto perfil del año pasado, que exponen los
datos confidenciales de decenas de millones de clientes, han
implicado filtraciones de base de datos. En el sector de las
telecomunicaciones, algunos CSP grandes han sufrido
filtraciones de datos a gran escala, altamente dañinas, debido
a que no han proporcionado el cifrado adecuado de sus
propias bases de datos de clientes.
Para ser confiable, el ecosistema 5G deberá brindar opciones
completas de cifrado de base de datos para los activos del
operador de red y las empresas que lo utilizan. Esto puede
parecer evidente en la actualidad en el caso de las bases de
datos centralizadas tradicionales, pero también se debe
prestar atención a los modelos más distribuidos. Muchos
casos de uso del IoT requerirán la recopilación y el
almacenamiento de datos en sitios locales y remotos. Por lo
tanto, las empresas necesitarán soluciones de cifrado de
bases de datos para aquellos sitios remotos que sean
escalables y accesibles. Los sitios remotos también
necesitarán ser administrados centralmente por una solución
de administración de cifrado que pueda llegar a ellos de
manera segura.

Enclaves seguros en la periferia

Hay nuevos desafíos importantes en sitios remotos más allá casos de uso del IoT que se están volviendo posibles.
del cifrado de la base de datos. En los casos de uso del IoT, Detrás de eso, sin embargo, el enclave seguro aún necesita la
donde los datos también se analizan y manipulan en la validación de los HSMcentralizados en el corazón del
periferia de la red, y donde algunos, o todos ellos, deben ecosistema 5G que proporcionan la raíz central de confianza.
reenviarse a otras ubicaciones en la red, se necesita un Esto se debe a que cualquier entorno ejecutado de confianza,
entorno de ejecución local confiable para evitar el acceso no como un enclave seguro, solo puede ser verdaderamente
autorizado a los datos confidenciales o su manipulación. confiable en función de la raíz de confianza que verifica que el
entorno sea realmente confiable, cómo es confiable,
La implementación de un HSM en estos sitios será, por lo por quién y sobre qué base. Esto solo se puede lograr a través
general, excesiva en términos de restricciones de costo y de la certificación remota del enclave seguro por parte del
espacio. Como alternativa, las partes interesadas del 5G HSM que sirve como raíz de confianza.
deberían considerar soluciones de enclaves seguros, es decir,
zonas cifradas por hardware, creadas a nivel del chip, que
brindan a los desarrolladores los medios para aprovechar la
CPU para crear regiones de memoria aisladas y confiables.
Estos recursos de memoria no direccionables están aislados
de la memoria RAM física y cifrados para proteger la
divulgación o la modificación de los datos confidenciales y el
código.

Cuando los desarrolladores necesitan acceder a datos

confidenciales, la aplicación usa la verificación basada en CPU
para verificar si se está ejecutando en una CPU de confianza y
si el enclave se está ejecutando como se esperaba. Una vez
que la aplicación confirma la integridad del enclave, despliega
datos en el enclave donde la aplicación puede acceder a datos
confidenciales. Una vez que se han realizado las
modificaciones, la aplicación vuelve a denegar el acceso
a la memoria de confianza. La propuesta de valor clave de este
enfoque es que, incluso si el sistema operativo y la máquina
virtual del sistema están completamente comprometidos, el
enclave seguro permanece inaccesible y los datos
confidenciales permanecenprotegidos.

En cierto sentido, un enclave seguro necesita operar de forma

autónoma en la periferia de la red para brindar a las empresas
la confianza que necesitan para implementar algunos de los
 Cifrado de latencia ultrabaja para el transporte 'anyhaul'

Además de en uso y en reposo, los datos también necesitan
protección cuando están en tránsito. Al igual que con el 4G, el
5G proporcionará cifrado integrado en la interfaz de radio
5GNR, pero desde el sitio de la célula de regreso hasta la red
no habrá ningún cifrado incorporado. En cambio, como en el
4G, los operadores de 5G necesitarán agregar su propio
cifrado en las redes "backhaul", "fronthaul", incluso en las
redes "midhaul" (interconexión entre nubes periféricas
remotas), a veces denominadas "anyhaul".
En el 4G, el estándar de cifrado usualmente utilizado en este
contexto es IPsec. Si bien es adecuado para el 4G, IPsec es
mucho menos adecuado para el 5G. En particular, debido a la
sobrecarga que conlleva, IPSec pondrá en peligro los
requisitos de latencia ultrabaja de 5G. Otras soluciones de
cifrado para Ethernet de alta velocidad, que operan a 100
Gbit/s y que no agregan nada más que unos pocos
microsegundos de latencia, ya están ampliamente disponibles
en el mercado y deben considerarse como una
alternativa a IPsec para 5G.
Tan seguro como el eslabón más débil
Todos los componentes clave mencionados de un tejido de
confianza 5G son complementarios y están interconectados.
Las empresas que manejan datos confidenciales como
parte de sus operaciones centrales deberían considerarlos
todos como obligatorias sobre la base de que la seguridad
general del tejido de confianza 5G solo es tan fuerte como
su eslabón más débil.

Cómo proporcionar una gestión confiable del

ciclo de vida de los dispositivos 5G del IoT
En debates sobre la vulnerabilidad de la economía digital global
por dispositivos IoT inseguros, gran parte de la atención se ha
centrado en el mercado de consumo y en la forma en que las
botnets pueden aprovechar las "cosas" domésticas inseguras
para llevar a cabo ataques como los botnets Mirai de octubre
de 2016.
Sin embargo, dada la forma en que la red evoluciona hacia el
5G, la protección de los datos del IoT generados por las
empresas será igual de desafiante. En esta sección se analizan
los riesgos para los datos del IoT de las empresas y cómo,
para muchas organizaciones, la externalización de punta a
punta de la gestióndel ciclo de vida de los dispositivos del IoT
impulsará su confianza en el ecosistema 5G.
El modelo de negocio tradicional M2M de un gran sector
industrial clave que invierte sus propios recursos en
asociaciones para agregar a sus propios dispositivos celulares
credenciales de autenticación y luego implementarlos en una
arquitectura cerrada, centralizada e inflexible utilizando solo
los propios servidores de la compañía y su propia
analítica está comenzando a quebrarse.
En el ecosistema 5G, las organizaciones esperarán poder
cambiar dinámicamente los proveedores tanto de red como de
alojamiento siempre que sea conveniente hacerlo. Si pueden
confiar en el ecosistema, también les gustaría poder
aprovechar datos y análisis de terceros para agregar valor
adicional a los conocimientos que obtienen de sus propios
datos. Esto requiere extender el tejido de confianza en estos
dominios. Las empresas necesitan mantener un control
estricto de sus datos. También necesitan saber en qué recursos
de datos y analíticas de terceros pueden confiar y en
cuáles no en este entorno más abierto de intermediación de
datos.
Los proveedores mundiales de la nube, como AWS y Microsoft,
están prestando su considerable peso a esta trayectoria en la
cúspide de la era 5G. En 2017, por ejemplo, AWS lanzó
Greengrass, su propuesta IoT para entornos distribuidos. Esto
brinda a los desarrolladores las herramientas que necesitan
para poder codificar directamente en entornos periféricos
distribuidos con recursos locales de cómputo, almacenamiento
y análisis. Esto es para casos de uso que se implementan a
muchas, muchas millas de las nubes centralizadas
tradicionales. El 5G complementa esto con las características
distribuidas, latencia ultrabaja, elección de conectividad óptima
y segmentación de red que el 4G no puede proporcionar. Nokia
es una de las varias compañías que se asocian con AWS para
impulsar la adopción de Greengrass en la periferia de la red 5G.

En la evolución del M2M, el IoT en 5G tiene 3 características nuevas:

Una variedad de dispositivos con Diferentes tipos de conectividad con

capacidades muy variables, la características de rendimiento muy diferentes Una arquitectura mucho más
mayoría de los cuales no usará para soportar aplicaciones que tienen abierta, flexible y distribuida.
conectividad celular. requisitos muy diferentes.
El 5G tiene cuatro impactos principales en los dispositivos del IoT: La gestión del ciclo de vida del dispositivo del IoT implica

1
aprovisionar o sembrar las credenciales de seguridad y las
El tiempo que algunos dispositivos necesitarán
capacidades de conectividad en el dispositivo al momento de
estar en el campo se está prolongando – a veinte
la implementación. Asegura que la elección de la
años o más en el caso de algunos objetos
conectividaddurante la implementación cumpla con los
conectados de banda estrecha del IoT. Se deben
requisitos de la aplicación. También garantiza que el
encontrar maneras de garantizar que estos
dispositivo se presente constantemente como un dispositivo
dispositivos y aplicaciones se actualicen a lo largo
confiable para la aplicación en la nube.
de su vida útil con los últimos firmware y software.

2
Cada vez más, la conexión de estos objetos se
realiza a través de una infraestructura y
protocolos compartidos o públicos. En este
entorno, existe la necesidad de proteger tanto a los
servidores como a los clientes del acceso no
autorizado. Las credenciales de identidad no solo
deben proporcionarse sino también administrarse.
Construir soluciones avanzadas del IoT que sean robustas y
seguras no solo requiere recursos y capacidades en la etapa
de implementación. Mucho antes de llegar a ese punto, se
deben invertir muchos recursos en el modelo de negocio que
califica inicialmente, el prototipo, así como la
implementación y prueba del prototipo. Del mismo modo que
siempre han podido, desde los primeros días del M2M,
algunas de las organizaciones más grandes tienen suficientes

3
La diversidad de datos y la diversidad en el uso de
la plataforma de red pueden crear conflictos
dentro del dispositivo o la conectividad, lo que
puede llevar a la interrupción del servicio.
recursos propios para navegar e implementar los nuevos
desafíos de seguridad de los datos de los dispositivos a la nube
de sus implementaciones del IoT en el contexto 5G.
Sin embargo, la mayoría de las organizaciones no lo puede
hacer, por lo que se enfrenta a una dura elección. Pueden

4
Las ideas para las nuevas implementaciones del
IoT estarán cada vez más impulsadas por las
aplicaciones, por desarrolladores con poca o
ninguna experiencia en el ensamblaje de todos los
componentes de una solución integral en un
entorno mucho más complejo que el modelo
M2M tradicional.
implementar soluciones del IoT en el entorno 5G emocionante
pero cargado de riesgos con mecanismos de confianza
inadecuados integrados, y volverse muy vulnerables a las
filtraciones de datos; o pueden reducir drásticamente ese
riesgo externalizando estos requisitos, tanto para las fases
precomerciales como comerciales, a un proveedor
especializado de servicios de gestión del ciclo de vida del IoT
que tenga experiencia en el aprovisionamiento de credenciales
y conectividad de dispositivos zero touch, junto con protección
de datos de punta a punta en el dispositivo, la red y la nube.

3
Gestión de punta a punta del ciclo de vida de los certificados y las claves de un dispositivo del IoT.

Gestión segura de las actualizaciones del firmware en el dispositivo y de la aplicación. Esto

CAPACIDADES garantiza que las actualizaciones que se reciban no solo sean confiables, sino que también
CLAVE PARA LA cumplan con los requisitos de rendimiento únicos de la aplicación específica.
GESTIÓN DEL
CICLO DE VIDA Supervisión de cualquier comportamiento no autorizado en el portador de conectividad o
DEL IoT 5G por el dispositivo, y resolución de problemas para solucionar inconvenientes.
Cómo los módulos inalámbricos pueden
abordar nuevos casos de uso del IoT 5G
Debido al acelerado impulso del mercado detrás del IoT, se
puede esperar que los módulos inalámbricos generen una
mayor proporción de ingresos en el ecosistema 5G que en el
caso de generaciones celulares anteriores , ya sea que una
empresa administre estos módulos por sí misma o los
externalice a un tercero. Esta sección detalla cómo algunos de
los requisitos de los módulos inalámbricos siguen siendo los
mismos para 5G, mientras que otros cambian
significativamente.
Los módulos 5G deberán ofrecer la misma integración fluida
con el 5G NR que la de los módulos 4G con LTE. Los módulos
también deberán admitir la misma conectividad bajo demanda
para que puedan instalarse instantáneamente en cualquier
parte del mundo. El aprovisionamiento de los perfiles de
operador específicos y las credenciales de seguridad de
cualquiera de los cientos de operadores móviles de todo el
mundo será sustancialmente el mismo que con el 4G. La
necesidad de una amplia cartera de módulos que admitan
múltiples bandas de frecuencia se mantendrá. En todo caso,
será necesario que haya más para admitir todas las bandas del
espectro adicionales que son elegibles para usar el 5G.
Además, los módulos 5G tendrán que admitir algunas
características muy diferentes a las de las generaciones de
módulos anteriores. El 5G verá módulos mejorados definidos
de acuerdo con tres amplias categorías:
> Comunicaciones de tipo de máquina
> Comunicaciones de alta velocidad
> Comunicaciones ultraconfiables
De los tres, los módulos de Comunicaciones de Tipo de
Máquina (MTC, por sus siglas en inglés) se parecerán más a
sus homólogos 4G. Aquí los cambios en los requisitos vendrán
sobre todo en el caso de aquellos productos MTC optimizados
para IoT masivo, es decir, una batería de larga duración y una
cobertura muy amplia para atender al mercado Lower Power
Wide Area (LPWA). Se puede prever una arquitectura más
inteligente centrada en el dispositivo en 5G con medición de
Calidad de Servicio incorporada y se aprovecharán
características adicionales, como las comunicaciones
de dispositivo a dispositivo. También se requerirán nuevas
medidas de seguridad para admitir protocolos de
comunicaciones no IP, como los nuevos protocolos NB IoT
NB1 y NB2 en el contexto de los dispositivos que se
implementan en el campo durante diez años o más.
Los módulos optimizados para comunicaciones de alta
velocidad junto con baja latencia son una categoría
completamente nueva que solo es viable con el 5G. Cualquiera
que cuestione el apetito real del mercado por los módulos 5G,
en lugar de conformarse con los productos 4G, debería echarle
un vistazo al sector automotor. Los líderes de la industria
automotriz están impulsando agresivamente la demanda de
módulos 5G. A través de asociaciones industriales, como la 5G
Automotive Association (5GAA), que incluye a Audi AG, BMW
Group y Daimler AG entre sus ocho miembros fundadores, las
principales compañías automotrices ya han dedicado varios
años de I+D a preparar sus nuevas líneas de productos para
estar listas para el 5G cuando se lancen las primeras redes.
Algunos socios del ecosistema ya han llegado a la definición de
un primer producto para un módulo de alta velocidad 5G para la
industria automotriz. Esto es para uso en frecuencias inferiores
a 6 GHz, por razones de cobertura. El trabajo de especificación
detallada en la categoría Comunicaciones Ultraconfiables
(URC, por sus siglas en inglés) aún no se ha puesto en marcha
en 3GPP y 5GAA. Por lo tanto, se puede esperar que estos
productos Ultraconfiables salgan al mercado después del LTE
de alta velocidad, combinado con productos 5G New Radio
nuevos que están principalmente orientados al uso del
consumidor y tendrán una vida útil corta (hasta 2 años).
Es probable que los primeros productos autónomos 5G de la
industria automotriz totalmente estandarizados se lancen entre
fines de 2021 y principios de 2022. Esto se debe a los requisitos
de nivel de vida útil y de rendimiento de la industria automotriz.
Un automóvil puede tener un ciclo de vida de, al menos, 10 años
y, por lo tanto, la implementación "inicial", "no autónoma",
donde el 5G no se implementa en la red central y la
conectividad depende del núcleo LTE existente, no será
suficiente para este segmento. El desarrollo de productos
probablemente se basará en muchos de los mismos conjuntos
de habilidades requeridos para el mercado de los módulos de
Comunicaciones de Alta Velocidad (HSC, por sus siglas en
inglés) en términos de definición de casos de uso, pruebas
de desarrollo de prototipos y despliegue.
En un nivel más general, debido a los requisitos de la cadena de
confianza relacionados con la protección de datos ya descritos
en este documento, los módulos 5G tendrán que interactuar
con la red 5G de una manera fundamentalmente diferente a la
de las generaciones anteriores de módulos inalámbricos.
Tendrán que admitir la protección de datos y otras
características de seguridad que van más allá del cumplimiento
tradicional de los estándares de seguridad 3GPP. Tendrán que
ofrecer a los proveedores de servicios y a sus clientes
empresariales una amplia gama de características de
seguridad para que puedan navegar por los requisitos únicos
de las aplicaciones que admiten. Eso incluye requisitos
específicos para la autenticación y la autorización en un
segmento de red o credenciales de autenticación en relación
con otros dispositivos e instancias de cómputo,
almacenamiento, red y análisis en la red o en la nube.
Qué nuevos roles puede respaldar la eSIM
5G en la autenticación de red
En esta sección se analiza cómo se debe transformar el
formato, la función y la gestión de las credenciales de
conectividad de red en los dispositivos finales para alinearse
con las nuevas capacidades integradas en la red 5G y
aprovecharlas al máximo.
En particular, aborda la evolución desde la distribución de un
conjunto de credenciales de usuario en una tarjeta SIM física
hasta la distribución de múltiples conjuntos de credenciales
que son programables remotamente en el software.
El lanzamiento del Samsung Galaxy Gear S2 3G en 2016,
seguido por el Samsung Galaxy Gear S3 4G y el Apple Watch
Series 3 en 2017, marca una nueva era en las comunicaciones
móviles en el sentido de que utilizan una SIM integrada (eSIM).
Esto señaló el comienzo de una transformación de las
credenciales de seguridad físicas a las virtuales en los
dispositivos finales.
Para los casos de uso 4G, la eSIM ya reduce el costo asociado
con la fabricación, el envío y la logística del canal de bienes
físicos discretos. Los dispositivos conectados a celulares
también pueden actualizar sus credenciales remotamente,
aprovechando las especificaciones de Aprovisionamiento de
SIM remota (RSP, por sus siglas en inglés) de la GSM
Association.
El 5G se lanzará justo cuando el nuevo mercado de eSIM esté
comenzando a ampliarse, convirtiéndose en la primera
generación celular en lanzarse en un mercado eSIM optimista.
Para el 5G, todas las mismas propuestas de valor de una eSIM
4G continúan siendo relevantes, ya que se implementa en un
teléfono inteligente de consumo 5G o en un dispositivo IoT 5G.
Además, se requiere mucho más de una eSIM 5G.
Conectividad avanzada
Un servicio de descubrimiento para que los
usuarios puedan elegir su propia suscripción de
conectividadbásica.
Un mecanismo más definido para roaming fluido
entre tecnologías de acceso inalámbrico 3GPP y
no 3GPP.
Para servicios empresariales o de contenido
como Netflix, es probable que el proveedor de
contenidopague (y agrupe) la suscripción,
incluida la conectividad. La eSIM 5G debería
permitir que estofuncione de manera fluida junto
con otrassuscripciones de contenido y/o
conectividad.
Seguridad y autenticación de segmentación de red
Permite a las empresas aprovechar sus
credenciales para preseleccionar segmentos de
red.
Para admitir dispositivos con acceso a múltiples
segmentos de red, una eSIM 5G necesita admitir
múltiples conjuntos de credenciales de
autenticación y autorización. Las soluciones
deben cumplir con la especificación RSP de la
GSMA y estar disponibles por segmento para
permitir que las credenciales se descarguen para
cada segmento al que el dispositivo tiene acceso.
En un caso de uso de un dispositivo de varios
segmentos, donde un dispositivo está conectado
a un segmento empresarial que contiene los
datos confidenciales de la empresa y un
segmento comercial o de consumo, la eSIM y
otros elementos de confianza en el dispositivo
deben forzar el aislamiento del dispositivo. Esto
es para asegurar que el malware no se pueda
insertar para filtrar datos del segmento
confidencial de la empresa al segmento de
consumo al cual una entidad maliciosa está
espiando y potencialmente exponiendo los datos
de un segmento a otro.
Tanto en el contexto empresarial como en el de consumo, la
flexibilidad y la gama de opciones disponibles cuando se utilizan
las eSIM para acceder a la red 5G abrirá la puerta a una cabina
de gestión de suscripciones para que los usuarios puedan ver
qué dispositivos tienen, qué están consumiendo y qué están
pagando.
En el contexto de consumo, cada vez es más común que los
operadores ofrezcan grandes cantidades de datos únicos que
los usuarios pueden usar en múltiples dispositivos diferentes.
Esto se acelerará en el 5G, ya que la red 5G de acceso múltiple
da una sensación de 'capacidad ilimitada' con características de
rendimiento muy diferentes. Esto también alejará los precios
de facturación basada en volumen y acercará modelos de
facturación más basados en el valor. En este entorno, la eSIM
comienza a perder importancia como el mero garante de unos
pocos centavos de ingresos vinculados al consumo de datos. Su
valor evoluciona más hacia ser el garante de los datos del
usuario de la empresa o del consumidor en la nube cuando se
utiliza en aplicaciones de mayor valor.
Licencias de software en un entorno 5G
totalmente virtualizado
Otro de los requisitos clave para que florezca el ecosistema 5G
es un régimen de licencias de software que proporciona a los
operadores de red la flexibilidad que necesitan para aprovechar
al máximo la virtualización con automatización y orquestación.
Para reducir su base de costos, los MNO ya no están
preparados para aceptar un modelo de licencia perpetuo y
único, por el cual pagan la licencia de software completa por
adelantado para un software VNF de un proveedor por el
derecho a usarlo
indefinidamente.
Los operadores esperan cada vez más poder optar por una
variedad de modelos de suscripción (en los que el software se
alquila efectivamente por una tarifa mensual) o modelos de
pago por uso.
Estos modelos, más flexibles, se alinean mucho más
estrechamente con la realidad cotidiana del uso altamente
variable de diferentes aplicaciones de red en una red 5G
dinámica, impulsada por software.
La demanda del operador está impulsando nuevas dinámicas
en elmercado de software de telecomunicaciones. Los
proveedores de software independientes (ISV) Pure-Play están
ingresando al mercado con nuevas ofertas que se diseñan
desde el comienzo para alinearse con los requisitos nativos de
la nube de los operadores, libres de las limitaciones de las
dependencias de hardware heredadas y el código heredado.
Varios de los operadores más grandes también están
comenzando a desarrollar su propio software.
Para navegar con éxito esta transición, los proveedores de
software deben mejorar su juego en términos de los modelos
de compra más flexibles que ofrecen, pero también en
términos de la forma en que auditan tanto la venta inicial como
el consumo posterior de VNF para sus clientes MNO.
Desde la perspectiva de un operador de red móvil, la
habilitación de estos contratos únicos para múltiples
dispositivos con modelos de facturación variable requerirá
nuevas capacidades en la red y en el dispositivo. Se necesitarán
actualizaciones a sus entornos BSS para administrar las
credenciales en la red.
Desde el lado del dispositivo final, se necesitará una nueva
generación de plataformas de gestión de suscripciones. Estas
podrán definir la seguridad y otras características de un
segmento de red dado y luego permitir que las credenciales se
descarguen sin problemas en cada segmento con unos pocos
clics.
Además de cumplir con los estándares, las plataformas de
gestión de suscripciones deberán permitir una fácil integración
con el entorno heredado de aprovisionamiento de SIM física de
suscriptor de un MNO, incluida la confección de informes, el
monitoreo y otros aspectos operativos. A medida que los MNO
pasen de comprar SIM físicas a comprar eSIM como
suscripciones digitales, las plataformas de gestión necesitarán
respaldar eso según los formatos con los que los MNO no están
familiarizados actualmente.
Los proveedores necesitan capacidades de administración de
licencias para proteger su software contra el abuso intencional
o no intencional de sus propios clientes. Eso significa proteger
sus DPI en términos de protección contra la reproducción y la
ingeniería inversa. También significa monitorear y hacer un
seguimiento preciso del consumo granular de VNF por parte de
los clientes para garantizar que están pagando por todo lo que
usan. Al permitir a los clientes controlar por sí mismos su
consumo de software, algunos vendedores independientes de
software emergentes están particularmente expuestos al
fraude.
En lugar de no tener ninguna administración de licencias de
software, muchos proveedores medianos y grandes sufren la
vulnerabilidad opuesta. Como resultado de haber realizado
muchas adquisiciones, muchos proveedores establecidos han
heredado varios sistemas de administración de licencias en
toda su cartera.
Además, es justo decir que muchas de estas implementaciones
son rudimentarias. Por lo tanto, muchos proveedores grandes y
medianos necesitan sistemas avanzados de administración de
licencias que puedan funcionar como la mejor plataforma de su
clase por derecho propio. Críticamente, estos también deberían
servir como un único punto de integración y unificación para
sistemas dispares múltiples. Dichos sistemas dispares están
impidiendo a muchos proveedores no solo cumplir con los
requisitos del cliente, sino también monetizar el valor de sus
propios productos de la manera más efectiva posible
 GEMALTO.COM.LATAM
© Gemalto 2018. Todos los derechos reservados. Gemalto, el logotipo de Gemalto, son marcas comerciales y marcas de servicio de Gemalto y están registradas en ciertos países. Febrero de 2018 - Fotos de crédito: Istockphotos - Diseño: Jubemo