La seguridad de la infraestructura móvil es de suma importancia, y ha impulsado una mayor atención hacia la protección del equipo de red y sus proveedores. Las cadenas de suministro de telecomunicaciones móviles pueden presentar vulnerabilidades que, si son explotadas, comprometen los sistemas en servicio. Por lo tanto, se hace hincapié en la necesidad de abordar la seguridad de los productos y servicios a lo largo de todo su ciclo de vida.

Para fortalecer las cadenas de suministro, se sugieren intervenciones en diversas etapas. Durante el desarrollo de productos y servicios, se recomienda la implementación de un enfoque de seguridad desde el diseño (SBD), que integra consideraciones de seguridad en todas las fases del ciclo de vida del producto. Esto se complementa con el desarrollo de software seguro, utilizando marcos como el SSDF de NIST o el OWASP SAMM, para identificar y mitigar riesgos. El uso extendido de software de código abierto requiere atención especial, con guías para mejorar su seguridad. Las técnicas de análisis de composición de software (SCA), como las pruebas estáticas o dinámicas, son herramientas para evaluar el código. Además, la integración de la seguridad en las operaciones de desarrollo mediante DevSecOps permite un despliegue más rápido y seguro del código en redes operativas. La protección de las cadenas de herramientas de desarrollo y el uso de listas de materiales de software (SBOM) y hardware (HBOM) proporcionan mayor transparencia y facilitan una respuesta ágil ante nuevas vulnerabilidades. El desarrollo de SBOM es un área en evolución, pero conceptos como Vulnerability Exploitability eXchange (VEX) y Supply-chain Levels for Software Artifacts (SLSA) buscan maximizar su utilidad.

En el ámbito regulatorio, la Ley de Ciberresiliencia de la Comisión Europea (CRA) y la Directiva NIS2 imponen requisitos de ciberseguridad obligatorios a lo largo de todo el ciclo de vida del producto. La GSMA contribuye con esquemas como el NESAS (Network Equipment Security Assurance Scheme), que audita y prueba a los proveedores y sus productos frente a una línea de base de seguridad, buscando uniformidad global en los estándares. De manera similar, el GSMA SAS (Security Accreditation Scheme) y el eUICC Security Assurance (eSA) se enfocan en la seguridad de los proveedores de tarjetas UICC/eUICC y sus servicios de gestión de suscripciones.

La fase de adquisición es un punto inicial para que los operadores de redes móviles seleccionen proveedores confiables. La implementación de controles de seguridad de referencia (FS.31) de la GSMA ofrece una base para establecer una postura de seguridad sólida. Los requisitos contractuales deben extenderse a los sub-proveedores, asegurando que se apliquen las mismas medidas de seguridad en toda la cadena. Un concepto importante en esta etapa es el de «seguro por defecto», donde los productos se entregan con configuraciones robustas y endurecidas para minimizar la explotación desde el inicio, eliminando contraseñas predeterminadas y habilitando protocolos seguros.

Durante la operación y mantenimiento de los productos y servicios, que a menudo dura muchos años, se requiere una atención continua a la seguridad. Esto incluye la implementación de programas de gestión de vulnerabilidades y la participación en esquemas como el GSMA CVD (Co-ordinated Vulnerability Disclosure) para divulgar y mitigar vulnerabilidades. El intercambio de inteligencia de amenazas a través del GSMA T-ISAC (Telecommunication Information Sharing and Analysis Center) también es una práctica recomendada para proteger el ecosistema. Informes como el GSMA Mobile Telecommunications Security Landscape ofrecen una visión actualizada de las prioridades de seguridad de la industria. La seguridad de los proveedores de servicios gestionados (MSP) y la seguridad en la nube son consideraciones significativas, especialmente en el contexto de 5G y 6G, que dependen en gran medida de infraestructuras virtualizadas. Para los MSP, se han publicado diversas guías de buenas prácticas y avisos de ciberseguridad para proteger tanto a los proveedores como a los clientes. De igual manera, es necesario un control riguroso del acceso remoto y privilegiado a los sistemas. La notificación y el despliegue oportuno de parches para nuevas vulnerabilidades, así como el soporte en la gestión de incidentes de seguridad, son aspectos que los proveedores deben garantizar.

Enn la fase de desmantelamiento, es esencial asegurar que la eliminación de equipos y datos se realice de forma controlada y segura, conforme a las directrices de seguridad. La combinación de estas prácticas forma defensas en capas, una estrategia de seguridad que busca construir una protección robusta y eficiente mediante la acción concertada de múltiples controles. Estas medidas, aplicadas desde las primeras etapas del ciclo de vida, generan un beneficio de seguridad duradero en toda la cadena de suministro.

Para leer más ingrese a:

https://www.gsma.com/solutions-and-impact/technologies/security/gsma_resources/supply-chain-toolbox-report-2025/

https://www.gsma.com/solutions-and-impact/technologies/security/wp-content/uploads/2019/03/Supply-chain-toolbox-report-130625.pdf