Esto es lo que Trump no quiere ver de Huawei
Entramos en el centro de ciberseguridad de Huawei en China, donde analizan y certifican de forma independiente todos sus dispositivos y softwarern
3 junio, 2019 07:00Decía el gran Michael Chrichton que "la ausencia de pruebas no es prueba de ausencia". No sabemos si esta es la máxima que se está poniendo sobre la mesa en la disputa encarnizada entre la china Huawei y el gobierno norteamericano de Donald Trump, pero lo que sí sabemos es que esta disputa hace tiempo que dejó de basarse en pruebas para dirimirse en otros aspectos geoestratégicos que escapan a la mera técnica a la que, al final del día, debería reducirse. Unas acusaciones sobre los posibles riesgos de ciberseguridad tanto de las antenas 5G como de los dispositivos móviles de esta marca que, sin embargo, chocan frontalmente con la estrategia en estas lides que Huawei ha estado impulsando en los últimos cursos.
Con semejante telón de fondo, nos adentramos precisamente en el centro de ciberseguridad independiente (ISCP) que el coloso chino tiene cerca de su sede en Shenzhen. Sin fotografías pero con plena libertad para desentrañar el funcionamiento de esta unidad de trabajo que parece obviar el bueno de Trump. Se trata de un edificio que estéticamente no sobresale sobre los que le acompañan en un campus de la ciudad, pero en el que se esconde un equipo de 137 profesionales de la ciberseguridad, a 10 millones de dólares en sueldos cada año, quienes operan de forma completamente ajena a las líneas de producción desde 2013 para evitar presiones o interferencias de los mismos directivos que pagan sus nóminas a final de mes e incluso de los departamentos de I+D de la firma. Expertos que tienen, además, un poder inusitado en una organización como ésta: el derecho a veto sobre cualquier producto o servicio que Huawei quiera lanzar si detectan algún fallo de seguridad grave.
Y, además, no es una facultad que exista únicamente sobre el papel, sino que se ha puesto en marcha en numerosas ocasiones. Según las cifras que nos desvelan durante el tour, en 2013 se descartaron 58 productos por fallos graves de ciberseguridad, si bien entre 2017 y 2018 no hubo ningún caso de esa magnitud. Sí que hubo 17 productos en esos mismos años que sufrían de vulnerabilidades serias que fueron devueltos a sus respectivos creadores para que se solucionaran antes de llegar al mercado.
Sin estridencias ni la fanfarronería que caracteriza a su megalómana sede en esa misma localidad (que imita a ciudades europeas y cuenta incluso con su propia línea de tren), el centro de ciberseguridad solo dispone de algunos carteles en sus limpias paredes en los que se repite un mismo mantra: "Many Eyes, Many Hands". O dicho de otro modo, verificar hasta la saciedad cualquier cosa que Huawei quiera lanzar a las tiendas para evitar fallos desde el diseño. Para ello, los profesionales del ISCP siguen una metodología de testing basada en varios pasos que van desde el análisis mismo de los sistemas y amenazas hasta su puntuación, pasando por la priorización del riesgo, la valoración del compliance regulatorio o de cualquier riesgo residual que se les pueda haber pasado en una primera ojeada.
En el camino emplean, tal y como confirman fuentes de la compañía, herramientas de prueba de distintos fabricantes de todo el mundo y ampliamente reconocidas por la industria de la ciberseguridad (Symantec, McAfee, Coverity, AppCheck, Burp, Nessus...), aplicaciones de código abierto (Finbugs, Hping, Nmap...) y también desarrollos propios. Según aseguran desde Huawei, toda la metodología es abierta, tanto en su diseño como en los resultados que produce, tanto para los clientes (operadores de telecomunicaciones, principalmente) como para los reguladores o las universidades que deseen replicar estos estudios.
Por si Donald Trump ya comenzara a maquinar alguna teoría conspiranóica sobre las injerencias del gobierno chino en los resultados de estas pruebas, simplemente habría que recordarle que este centro cuenta con 240 certificaciones internacionales en ciberseguridad y, además, tan solo es un elemento más de la cadena de valor en estas lides de la marca.
Tal y como nos cuenta John Suffolf, mandamás de ciberseguridad de Huawei, esta compañía cuenta con más de 300 procesos de validación de cualquier producto o servicio y una inversión anual en esta materia de más de 2 000 millones de dólares, que se reparten entre este centro de Shenzhen, el Cyber Security Evaluation Centre de la firma en Reino Unido y el más reciente centro de transparencia inaugurado en Bruselas. "Nadie es perfecto: nosotros también cometemos errores estúpidos. Pero hacemos todo lo posible por evitarlos", dice Suffolf. "Un tercio de la población mundial está corriendo sobre redes o sistemas Huawei y eso nos obliga a intensificar nuestros esfuerzos en materia de ciberseguridad y a ser abiertos con los distintos actores del sector".
Tomar la contra
La pasada semana, Huawei pareció tomar la contraofensiva en la batalla que mantiene con Trump. Así pues, ha solicitado por vía judicial que se declare inconstitucional la prohibición de que las agencias gubernamentales de Estados Unidos adquieran sus productos, apelando a la falta de pruebas concretas contra la marca china en materia de ciberseguridad.