Los riesgos (y el valor estratégico) de los cables submarinos

Hace unos días, Google anunciaba que su cable submarino Grace Hopper había llegado a España. Su despliegue en Sopelana (Bilbao) representaba un nuevo hito en la interconexión entre Reino Unido, USA y España. Una infraestructura que “con solo 16 pares de fibras, ofrecería altos niveles de velocidad y flexibilidad de la red, aumentando la capacidad y la potencia de los servicios y mejorando la infraestructura general de telecomunicaciones europeas”.

Tras la noticia surgieron comentarios sobre el interés del Gobierno español por “facilitar los trámites burocráticos y eliminar las barreras para incentivar una actividad (esta de la gestión de conexiones) de extraordinaria importancia estratégica”. De hecho, un estudio reciente elaborado por Telegeography situaba a la Península Ibérica como una “región de interconexión estratégica” y un punto de convergencia entre Europa, América, Oriente Medio y Asia.

De sobra es conocido que la inmensa mayoría del tráfico intercontinental de internet viaja a través de cables submarinos. Según algunos analistas representa algo más del 95% de tráfico total. Centenares de cables atraviesan mares y océanos para unir todos los lugares del mundo. Los datos más recientes muestran que hay en torno a 475 trazados de cables que nos interconectan a través del fondo marino.

Con tal ingente infraestructura para la distribución de tráfico de datos e información, no resulta sorprendente pensar que la seguridad de estas conexiones sea prioritaria para empresas y gobiernos. Ya no se trata solo de ser capaces de gestionar las interconexiones, sino de velar también por su seguridad y resiliencia. Porque los riesgos a los que se enfrentan las infraestructuras de cables submarinos son múltiples.

En primer lugar, podemos destacar el interés geopolítico de los países por controlarlas. A nadie se le escapa que el acceso físico a los elementos de conexión en las comunicaciones es un punto crítico de la ciberseguridad en general. Si alguien tiene acceso a un equipo, conexión o red, tendrá acceso la monitorización del servicio, incluyendo el espionaje. De ahí que el control del cableado submarino y de sus estaciones en tierra se convierta en un objetivo estratégico.

Cabe mencionar que los dueños de los cables no siempre son los mismos que los que los fabrican o los que gestionan las estaciones de tierra a las que se conectan. Cada vez más, compañías participadas por los gobiernos de las potencias mundiales forman parte de consorcios que fabrican y despliegan estas infraestructuras. Un reciente estudio de Atlantic Council muestra muchos de estos elementos, indicando que aproximadamente el 38% de las conexiones oceánicas están participadas de una u otra manera por intereses gubernamentales.

Países como China, Rusia o incluso EEUU controlan una buena parte de estas redes que pueden ser vulnerables no solo a intercepciones de tráfico sino también a redireccionamientos para generar, entre otras cosas, cambios en la topología que redunden en un mayor flujo de datos y con ello en mayores beneficios para las compañías que gestionan las comunicaciones. Es lo que se conoce como hijacking de BGP.

Los riesgos también se extienden a los gestores de las estaciones base. Todo cable submarino tiene al menos dos puntos en los que debe conectarse con la parte continental para dar servicio a sus usuarios o incluso para proporcionar la energía que permita el funcionamiento de la red. Y esto supone dos riesgos importantes: su administración y su seguridad física.

Las estaciones terrestres a menudo están administradas de forma remota a través de sistemas de red que monitorizan el estado de las conexiones a lo largo de todo su trazado. Esta virtualización del nivel de control de las conexiones abre la posibilidad a técnicas de hacking hasta ese momento inexploradas.

La debilidad en el desarrollo seguro de estas aplicaciones —a menudo pensadas para uso en entornos muy herméticos y que se han visto expuestas al mundo de internet— o incluso los propios procedimientos de actualización — los conocidos como Software Supply Chain tan de actualidad en los últimos meses tras el ataque a SolarWinds— son otros dos de los posibles puntos vulnerables.

A ello hay que unir, como hemos mencionado, la fragilidad de las protecciones físicas de las instalaciones que pueden convertirlas en objetivos de actos terroristas. Cualquier incidente en las estaciones —incluso contra los propios cables, a través de atentados o meros accidentes con las anclas de los propios barcos— puede dejar sin conexión a una ciudad, o al menos introducir importantes inconvenientes ante la necesidad de redirigir el tráfico por caminos alternativos y posiblemente más lentos.

Llegados a este punto, alguien podría pensar que con el desarrollo del 5G este problema de dependencia de redes submarinas se verá atenuado. Sin embargo, es más que posible que ocurra lo contrario. Con independencia de la cobertura continental de la futura red 5G siempre será necesaria la comunicación intercontinental que tendrá que llevarse a cabo con cables submarinos —al menos hasta que los satélites proporcionen prestaciones similares—, pero ahora con requisitos de capacidad y velocidad que se verán multiplicadas.

Esto es precisamente lo que deben de estar pensando los miembros de la conocida como GAFAM —Google, Amazon, Facebook, Apple y Microsoft— que desde hace varios años vienen desarrollando su estrategia de despliegue de cables oceánicos para poder garantizar sus propios servicios en la nube. Solo en los últimos dos años, por ejemplo, entre ellos han desplegado una veintena de nuevos trazados de cable submarino.

Por eso, si en los próximos años España quiere impulsar una estrategia nacional en la gestión de las interconexiones oceánicas, deberá tener en cuenta que todos estos riesgos existen y que deberá afrontarlos con decisión, enmarcados en una normativa europea que garantice precisamente la seguridad y la resiliencia de una infraestructura de comunicaciones que reside bajo el mar.

Juan José Galán es Business Strategy de All4Sec