La llegada de la tecnología 5G: nuevos riesgos y amenazas para la privacidad de las personas

Fue en los años 80 cuando salió al mercado el primer teléfono móvil analógico de la mano de Motorola, suponiendo toda una revolución, ya que por aquel entonces poder comunicarse desde cualquier lugar y sin cables era algo inédito. Desde entonces, la telefonía móvil ha sufrido un proceso de desarrollo en forma de generaciones, que ha ido coincidiendo en el tiempo con cada una de las décadas.

En cada generación, se han ido descubriendo nuevas funcionalidades, y a su vez, han ido apareciendo nuevas amenazas y riesgos para la privacidad de las personas:

  • La generación 1G (principios de la década de 1980) primaba la funcionalidad, sin tener en cuenta la privacidad.
  • La generación 2G (1991), permitió enviar mensajes de texto a través de los terminales de los usuarios. En esta generación ya se introducen técnicas de cifrado en las comunicaciones que mejoran la confidencialidad, aunque por contra, se sufren los primeros ataques de SPAM y de interceptación de comunicaciones.
  • La generación 3G (2000): aparecen los primeros dispositivos con funcionalidades multimedia. Estos teléfonos también trajeron las primeras vulnerabilidades por código malicioso o de localización por GPS.
  • La generación 4G: (2010) permitía acceso de alta velocidad a Internet, y se implementaron técnicas de cifrado más robustas. Sin embargo, su utilización masiva supuso un aumento de amenazas.
  • La generación 5G se espera que sea el gran canal de comunicaciones de esta década. Desde 2016 se están haciendo pruebas con tecnología 5G en varios países de América, mientras que en Europa llegó para quedarse a principios de 2019.

Las mejoras que 5G ofrece a los usuarios son principalmente tres:

  • Mayor velocidad de transferencia: el 5G permite navegar hasta diez veces más rápido que las actuales ofertas de fibra óptica del mercado. A esta velocidad se podrá, por ejemplo, descargar una película completa en cuestión de segundos.
  • Baja latencia en las comunicaciones: es el tiempo que transcurre desde que se inicia el envío de un mensaje y llega el primer bit a destino. Ese tiempo podría reducirse a 5 milisegundos, un período casi imperceptible, pero que nos permitirá conectarnos prácticamente en tiempo real.
  • Mayor capacidad de conexión: permite aumentar exponencialmente el número de dispositivos conectados en tiempo real.

Estas características propician el despliegue de aplicaciones multimedia o de realidad aumentada que requieren respuestas en tiempo real, así como el despunte definitivo del llamado Internet de las cosas (IoT).

Para poner en marcha las redes 5G, se está planificando una renovación sin precedentes en la historia más reciente de la tecnología móvil. En este sentido, cabe destacar tres características que hacen que hablemos de la tecnología 5G como un cambio de paradigma en la concepción de las redes de comunicaciones móviles: virtualización, edge computing, y localización.

VIRTUALIZACIÓN

La virtualización supone que la conexión de los dispositivos se gestione directamente por sus fabricantes o proveedores de servicio a través de una SIM integrada (eSIM) y conectada a una slice de red o red virtual.

La red core, estará dividida en lo que se conocen como network slices, que permiten establecer redes lógicas, con funciones de red propias, sobre una única infraestructura física de telecomunicaciones, con parámetros configurados específicamente para dar respuesta a distintos requisitos de cada aplicación.

Esto sirve para gestionar el registro, acceso y movilidad de los dispositivos de usuario, su geolocalización y la posible interceptación legal de las comunicaciones por los Cuerpos y Fuerzas de Seguridad del Estado.

En la práctica, supondría por ejemplo que los usuarios no tuviesen que gestionar la conexión con el operador, ni introducir una SIM en el dispositivo porque esa función de control es llevada a cabo por los fabricantes o proveedores.

Es inevitable pensar en el fuerte impacto que tiene la virtualización en la privacidad de las personas, sobre todo en relación con el filtrado de datos entre funciones compartidas entre distintos slices.

EDGE COMPUTING

El modelo de servicio que hoy en día empleamos en nuestros dispositivos utiliza aplicaciones (apps) que intercambian datos con servidores de Internet sin que el usuario tenga que proporcionar, al menos en un primer momento, su ubicación física.

Pero este sistema no siempre es eficaz y, sin embargo, la tecnología edge computing permitirá desplazar el “centro de gravedad” del tratamiento de datos desde los servidores hacia ubicaciones más cercanas al dispositivo del usuario, cuando sea necesario y en principio que sea necesario Internet.

Al poder estar lo más cerca posible del usuario final, se evitarían recorridos más largos para que lleguen a centros de datos, permitiendo así que podamos encontrarnos con escenarios en tiempo real como los vehículos autónomos, la cirugía remota asistida o la realidad aumentada, entre otros.

LOCALIZACIÓN

En el marco de actuación del 5G, se necesita que se usen frecuencias de transmisión más altas que las que se usan ahora, y que permitirán alcanzar transmisiones mucho más rápidas.

Para ello, se necesita que existan más puntos de acceso que los que existen actualmente, y menor distancia entre ellos para que se pueda localizar el terminal de usuario con una precisión mucho más exacta de la que tiene en la actualidad.

Por otra parte, la tecnología 5G introduce importantes mejoras respecto a las generaciones anteriores, que hacen que las comunicaciones sean más seguras como, por ejemplo, mejoras en los mecanismos de autenticación e introducción de mecanismos de control de fraude, una mayor protección de los datos de los usuarios, o una nueva estructura de identificación de usuario y de cifrado.

  • En definitiva, el uso de las infraestructuras de tecnología 5G por parte de redes tanto públicas como privadas, unido al incremento de dispositivos conectados, podría suponer que de algún modo todos estemos más conectados.

Ahora bien, tras haber analizado las novedades que trae consigo la llegada de la generación 5G, es normal plantearse en este punto,

¿De qué forma afectará esta tecnología a la esfera de privacidad de las personas?

La Agencia Española de Protección de Datos (AEPD), consciente precisamente de esta confrontación de intereses en la que, por un lado, nos encontramos con las numerosas novedades y ventajas que ofrece el 5G, y por otro lado, las inquietudes acerca de las implicaciones para la privacidad que puede suponer su implantación generalizada; ha publicado recientemente una nota técnica (ver aquí), en la que se realiza un primer análisis de los riesgos para la privacidad que puede entrañar el 5G y las tecnologías que hagan uso de ella.

La AEPD identifica algunos de los riesgos que más preocupan:

– Que la geolocalización basada en la red es mucho más precisa.

– Que se va a poder llegar a una individualización precisa de las personas y se va a permitir la toma de decisiones automatizadas sobre las personas.

– Que se prevé un aumento de agentes con distintos intereses, que pueden participar en el tratamiento de datos personales, lo cual puede dificultar que se determine sobre quién recae la responsabilidad del tratamiento.

– Que no existe un modelo homogéneo de seguridad.

– Que el hecho de que haya más servicios y más conectividad incrementará exponencialmente los ciberataques y las amenazas. Asimismo, nos vamos a encontrar con problemas de estabilidad, trazabilidad de versiones, actualizaciones por diversos intervinientes, puertas traseras, malware y hacking.

– Que se van a heredar los problemas de privacidad derivados de infraestructuras estándar interoperables, así como de los entornos virtuales y funciones compartidas.

– Que es probable que perdamos el control de nuestros propios datos.

Muchos de estos riesgos están interrelacionados entre sí, y ya eran latentes con las anteriores generaciones, pero pueden verse exponencialmente incrementados con la implantación definitiva del 5G.

La AEPD señala que, aunque no sea esta una lista exhaustiva, en virtud del artículo 25 del Reglamento General Europeo de Protección de Datos (RGPD), “protección de datos desde el diseño y por defecto”, estos riesgos deben tomarse en consideración desde las primeras fases de diseño de los tratamientos para la implementación de medidas técnicas y organizativas que los mitiguen, incluyéndose la realización de evaluaciones de impacto por parte de fabricantes, proveedores de servicios y operadores.

Además, la AEPD incluye en la nota técnica una serie de recomendaciones, en consonancia con el cumplimiento de la normativa vigente y actual en materia de protección de datos para que todos los intervinientes en la implementación, gestión y explotación de la red 5G tengan en cuenta:

  • Las nuevas aplicaciones y servicios basados en el 5G deben ofrecer una información clara y fácil de entender sobre el tratamiento que se va a realizar: quiénes son los responsables del tratamiento, las finalidades, si se adoptan decisiones automatizadas y la elaboración de perfiles, así como sobre el acceso y uso de las medidas de control por parte de los usuarios.
  • Implementar mecanismos de trasparencia y trazabilidad.
  • Determinar a quién corresponde la responsabilidad del tratamiento y delimitar las obligaciones de desarrolladores, fabricantes, operadores y agentes en atención a las decisiones que tomen sobre los medios y fines del tratamiento.
  • Implementar medidas de control de los propios usuarios sobre los datos personales.
  • Implantar medidas de minimización de datos, sobre todo en relación con la georreferenciación, entendida como el posicionamiento espacial en una localización geográfica única y bien definida en un sistema de coordenadas.
  • Evitar el filtrado de información entre procesos en los casos de tratamiento distribuido y compartido.
  • Establecer criterios homogéneos de seguridad que se basen en un análisis de riesgos para los derechos y libertades, tal y como estable el RGPD.
  • Garantizar comunicaciones cifradas de extremo a extremo.
  • Adecuar el uso de decisiones automatizadas a lo establecido en el RGPD.
  • Establecer garantías si se producen transferencias internacionales de datos.
  • Auditar de forma independiente las infraestructuras y servicios.
  • No importar modelos que ya se ha demostrado que son vulnerables.

La AEPD prevé la gran posibilidad de que surjan infraestructuras y nuevos servicios que impliquen tratamientos de datos personales que requieren que se realice una evaluación de impacto (EIPD), tal y como reza el artículo 35 del RGPD. Para estos casos, incide en que si tras realizarse la EIPD, el riesgo residual sigue siendo elevado, se debe realizar una consulta previa a la autoridad de control antes de su puesta en marcha.

Finalmente, la AEPD aboga por la necesidad de adaptar la normativa actual y los estándares relativos al tratamiento y a la conservación de datos de tráfico por los operadores de telecomunicación, especialmente con relación a la georreferenciación, ya que con la llegada de la tecnología 5G necesitamos que se establezcan garantías adecuadas al tratamiento.

Una vez más, la transformación y el avance tecnológico, vuelve a poner en tela de juicio nuestra privacidad, propiciando a su vez, la aparición de nuevos retos tanto para las entidades de cara a su adaptación a las nuevas tecnologías, como para nuestros legisladores, que deberán de velar por regular y aportar directrices más claras respecto a los riesgos ante los que nos encontramos.