La elección de Bruselas por parte de Huawei para instalar su laboratorio de "transparencia y ciberseguridad" tiene poco de azaroso. El centro de la política europea es fácil de identificar como el emplazamiento estratégico para la compañía china que, en medio de una batalla tecnológica y económica con la administración Trump, quiere defender su integridad señalando a Europa como su gran aliado.
Más que a la apertura de un centro tecnológico asistimos a una representación política de cara a los medios y a la opinión público. Prueba de ello es que para inaugurar un humilde edificio en el centro de Bruselas acudiese su presidente rotatorio, Ken Hu; lo es todavía más el elenco de políticos europeos que pasó por las conferencias, la presencia del CTO de la GSMA, Alex Sinclair, y que el evento al completo fuera una alabanza continua a la GPDR europea ("la ley de privacidad de datos más completa del mundo, constituye un ejemplo muy positivo para todos los países" en palabras de Ken Hu).
El mensaje literal de Huawei lo enunció Hu - "La confianza digital se basa en estándares y hechos verificables" - el mensaje de fondo no era otro que subrayar que el camino correcto es el de Europa y no el de Estados Unidos.
Un centro para enseñar y auditar el código fuente
Tras varias mesas los mensajes emitidos por Huawei, investigadores y políticos que conformaban la conferencia inaugural no se alejaron de varios lugares comunes: "los ciberataques están creciendo en cantidad y sofisticación por lo que hay que elevar la seguridad informática a prioridad", "lo deseable es tener estándares y certificaciones comunes como la GPDR pero con cuidado de no matar la innovación" y el clásico entre clásicos "tenemos leyes analógicas para un mundo digital"
No es una invitación a poder llevártelo, ni un salto al open source por parte de Huawei sino un intento de que dichos clientes puedan contrastar su tesis: el ataque de Trump a su integridad no tiene base y es posible contrastarlo
¿Había algo concreto en el centro que permitiera hablar de la subrayada transparencia y de la muy mentada colaboración con el ecosistema en la que tanto insistieron los portavoces de Huawei? La propuesta es que el laboratorio de Bruselas permite a clientes de la compañía china (gobiernos, telecos, grandes empresas) acceder al código fuente y poder auditarlo dentro del centro. No es una invitación a poder llevártelo, ni un salto al open source por parte de Huawei sino un intento de que dichos clientes puedan contrastar su tesis: el ataque de Trump a su integridad no tiene base y es posible verificarlo.
De esta manera, apunta Huawei, antes de contratar los clientes pueden inspeccionar el código que acompaña a teléfonos, routers, equipamiento de red o soluciones cloud... precisamente en el momento crítico de la industria a la hora de elegir proveedor para el 5G. La empresa china se juega mucho, no en vano gran parte de los analistas coinciden en que sus soluciones son de las más avanzadas para la nueva generación de redes merced a una inversión sin comparación en la industria.
Dos dudas en la propuesta de Huawei y una respuesta contundente
Entendiendo que el funcionamiento del centro se basa en el acceso y auditoría de un código que se aloja en su cuartel general en Shenzhen, la duda que plateamos algunos periodistas era obvia: cómo los auditores pueden estar seguros de que lo que estaban viendo y analizando era lo mismo que luego se compilaría y ejecutaría en los equipos o que se encontraría en producción en los servidores de Huawei.
La respuesta inmediata fue del tipo "es algo muy muy complicado", la respuesta larga la transcribo directamente:
No existe una herramienta de la industria ni un mecanismo fácil para comparar dos binarios diferentes, ya que la mínima diferencia en el fuente provocará grandes diferencias y ningún proveedor proporciona automáticamente esta capacidad de comparación. El problema de la comparación binaria debe ser abordado por toda la industria y debe resolverse a través de procesos de ingeniería de I + D. En Huawei entendemos cómo hacerlo, lo hemos probado muchas veces y ahora estamos evaluando la mejor manera de industrializar este proceso para que genere valor para los clientes. El servicio de verificación que proporciona ECSC es principalmente para verificar si el producto cumple con el estándar de seguridad del cliente.
De fondo tras esta propuesta se encuentra la otra gran tesis sobre ciberseguridad por parte de Huawei: toda la disciplina debería basarse en estándares y herramientas reconocidas por el mercado, algo preferible a trabajar caso por caso o seguir una práctica propia que genera menos confianza. De vuelta a Europa esto deriva un elogio de la GPDR y una llamada a evitar la fragmentación en las distintas certificaciones de cada estado miembro.
Sin embargo con la aproximación basada en pro de trabajar todos juntos y conseguir estándares globales para la privacidad y la seguridad surge otra duda y la tiene Huawei en casa. Es imposible conciliar la visión del ciudadano y la sociedad que hay en Europa o Estados Unidos con la que impera en China y su gobierno. En Xataka hemos analizado el sistema con el que China puntúa a sus ciudadanos y les asigna castigos y recompensas y revisado en varias ocasiones su aplicación.
Interpelado con que el tema de fondo era si detrás de Huawei están el ejército y el gobierno chinos, el "Senior Vice President and the Global Cyber Security & Privacy Officer" John Suffolk respondió con la claridad que se le exigía: "En 30 no hemos recibido una orden del gobierno de China para mandarles datos a allí. Esto es un hecho. El gobierno chino ya ha dicho que no pide backdoors". "Incluso si recibiéramos estas peticiones, que no va a pasar, el cofundador y CIO ha dicho que antes cierra Huawei que atenderlas"
Ver 28 comentarios