Dadas las circunstancias, puede parecer irónico que Huawei, tantas veces señalada por ciertos círculos de Estados Unidos como sospechosa de introducir ´puertas traseras` en sus productos con fines de espionaje a favor de China, haya publicado justamente ahora un white paper en el que describe con profusión de detalles sus políticas de seguridad, que acompaña con recomendaciones a la industria. Es el segundo documento de este tipo que forma parte de la campaña para restaurar su imagen y recuperar a largo plazo la confianza del mercado estadounidense, que en la práctica se ha cerrado para la compañía china. Con tacto, el documento evita aludir al escándalo de espionaje masivo de la NSA.
Hace meses, ante la persistencia de las acusaciones no fundadas contra Huawei, los altos directivos de la compañía sugirieron una pérdida de voluntad en pelear por el mercado de EEUU «como fuente de ingresos primarios. En cierto modo fue así, porque la compañía ha apostado por reforzar su implantación en Europa. Cuesta creer que una empresa de este calado se resigne a quedar fuera de un mercado tan voluminoso, en el que está presente desde 2001 y en el que tiene una importante nómina de empleados. Como el veto no se puede romper de la noche a la mañana, lo sensato es tomarse años para lograrlo.
John Suffolk, director de ciberseguridad de Huawei, ha declarado a Bloomberg que «la preocupación en Estados Unidos es genuina, y es responsabilidad de Huawei dar la respuesta apropiada». Parte de esa respuesta consiste en poner el listón de la seguridad lo más alto que sea posible, precisó Suffolk, antiguo CIO del gobierno británico fichado el año pasado por Huawei para demostrar al mundo que no tiene lecciones que tomar en la materia y que, por el contrario, está en condiciones de darlas.
El respetado Suffolk ha dirigido la elaboración del documento Cyber Security Perspective, cuya tesis central es la siguiente: «el problema de los estándares es que no son estándares». La ciberseguridad es definida como «un asunto demasiado amplio, por la cantidad de dispositivos conectados a Internet, que tienen demasiadas vulnerabilidades inaceptables, mientras la tecnología cambia tan rápidamente que cuando se cree haber llegado a un cierto nivel de seguridad, los atacantes ya tienen nuevas armas».
Según el white paper, publicado en octubre, «el mayor obstáculo con el que nos encontramos es que la industria tecnológica carece de estándares globales obligatorios; los gobiernos y las grandes compañías no usan su poder de compra para exigir el más alto nivel de seguridad a los suministradores de equipos para redes, y en consecuencia estos no invierten lo suficiente en seguridad a menos que sea absolutamente necesario». En consecuencia, Huawei dice estar dispuesta a apoyar la creación de laboratorios independientes especializados en tests de seguridad a los que presentaría sus productos con fines de certificación, y recomienda que el resto de la industria haga lo mismo.
La mayor contribución que los gobiernos podrían hacer – sostiene – no consiste en ponerse en manos de un proveedor supuestamente seguro, sino en ser más exigente con las prácticas de la industria, porque «si se eliminan las vulnerabilidades conocidas, se entrena debidamente al personal y se limitan los privilegios de acceso, serían medidas suficientes para resolver el 80% de los problemas de seguridad».
Entrevistado por The Wall Street Journal, Suffolk afirma que, entre los muchos competidores en el mercado, los acusadores la han tomado con Huawei porque es el único cuya matriz está en China [en realidad, también ZTE ha sido excluída de contratos en Estados Unidos], lo que la convierte en excusa para expiar los graves problemas de ciberseguridad. «Por esto mismo, tenemos que hacer un esfuerzo adicional que otros no hacen, pero de poco serviría que sólo Huawei mejorara la seguridad [de sus productos y procesos] si nadie más en la industria no acomete el mismo esfuerzo».
Por si no quedara claro, la compañia china señala que alrededor del 70% de los componentes que incorpora en su hardware lo compra a terceros, en su mayor parte a firmas de Estados Unidos, por valor de 6.000 millones de dólares. Entre otros proveedores nombra a Qualcomm y Broadcom.
Consciente de que los recelos que despierta tienen raíces políticas, la compañía niega rotundamente haber proporcionado información al gobierno chino, como se ha insinuado. Un vicepresidente de la compañía, Ken Hu, prologa el informe y afirma que «ningún gobierno nos ha dado nunca instrucciones ni nos ha pedido información acerca de nuestra tecnología». Más adelante, se dice que «ningún programador [de Huawei] tendría capacidad para escribir un código malicioso, y la variedad de configuraciones usadas por las empresas haría inútil ese procedimiento. Cualquier hacker sería más eficaz mediante técnicas de phishing o introduciendo malware espía». Como colofón, Huawei promete publicar las 100 dudas más frecuentes planteadas por sus clientes con respecto a la seguridad.
Estados Unidos representa una porción insignificante de los 35.000 millones de dólares de ingresos de Huawei, por lo que hay que tomar como un éxito lo ocurrido en Dinamarca, donde la agencia de inteligencia ha aconsejado adjudicar a Huawei la gestión de la red del operador TDC, de cuya gestión se ocupaba Ericsson desde 2008. «La seguridad es un criterio clave para nosotros, y por eso consultamos a las autoridades antes de tomar una decisión sobre la renovación del contrato de outsourcing«, ha sido la explicación de la compañía danesa.
[informe de Pablo G-Bejerano]