La evolución de las redes móviles hacia arquitecturas basadas en microservicios y tecnologías nativas de la nube ha transformado la manera en que se despliegan y gestionan las funciones del núcleo 5G. Esta flexibilidad, sin embargo, también introduce nuevas superficies de ataque que se sitúan por debajo del sistema operativo, particularmente en el firmware y el hardware de los servidores. Por ello, surge la necesidad de mecanismos que aseguren la integridad de la plataforma desde su nivel más bajo. Frente a este contexto, las medidas basadas en hardware ofrecen una alternativa sólida para construir confianza en los entornos 5G. Al establecer una cadena de medición desde el arranque del sistema, es posible verificar que cada componente del servidor (incluyendo firmware, cargadores de arranque y sistema operativo) permanece en un estado autorizado. Estas mediciones, realizadas mediante módulos como el Trusted Platform Module (TPM), permiten detectar cualquier alteración no aprobada en la configuración del servidor.

Para que esta verificación sea útil a escala, es necesario un sistema que pueda recopilar, comparar y evaluar estas mediciones en tiempo real. El Servidor de Atestación Remota (RAS, por sus siglas en inglés) cumple esta función. Cada servidor envía sus mediciones al RAS, que las contrasta con una lista de valores permitidos previamente definidos. Solo aquellos servidores cuyas mediciones coincidan pueden ser considerados confiables para alojar funciones críticas de red. A este control se suman los “asset tags”, etiquetas con atributos esenciales como ubicación o tipo de nodo, que son almacenadas también en el TPM. La combinación de mediciones de integridad y etiquetas permite tomar decisiones de despliegue basadas en políticas que garantizan que cada función se ejecute únicamente en servidores apropiados. Así, se fortalece el aislamiento de funciones críticas y se reduce la posibilidad de ejecución sobre infraestructura comprometida.

El proceso de orquestación en entornos 5G puede incorporar estos mecanismos mediante la integración entre el RAS y el orquestador de funciones de red. Esto hace posible seleccionar de forma automática servidores confiables y adecuados para cada tipo de carga de trabajo. Este enfoque, que ya ha sido probado en entornos de laboratorio utilizando Kubernetes y sin necesidad de modificar el hardware o software de proveedores, demuestra su viabilidad práctica. Además, se han explorado soluciones complementarias que aumentan la resistencia del firmware ante ataques. Basadas en principios de resiliencia, estas soluciones detectan, protegen y recuperan configuraciones del firmware mediante controladores físicos dedicados. Su incorporación puede elevar aún más el nivel de protección de la infraestructura.

Los beneficios no se limitan a la prevención de amenazas, sino que también mejoran la visibilidad sobre el estado de cada servidor. Los operadores pueden verificar en todo momento qué nodos son seguros para desplegar funciones, así como identificar rápidamente aquellos que podrían haber sido alterados, facilitando así la respuesta ante incidentes y la aplicación de medidas correctivas. Diversos marcos de referencia internacionales coinciden en recomendar este tipo de capacidades para proteger infraestructuras críticas de telecomunicaciones. Tanto organismos europeos como alianzas público-privadas han promovido su adopción como parte de un enfoque más integral de ciberseguridad. La implementación exitosa de estas medidas en redes comerciales demuestra que su adopción es técnica y económicamente viable. Por tanto, al integrar controles basados en hardware en el ciclo de vida de la infraestructura 5G, se da un paso importante hacia entornos más confiables, resilientes y auditables. Esta estrategia permite abordar amenazas sofisticadas que escapan a las soluciones tradicionales y, al mismo tiempo, facilita una gestión más precisa y automatizada de la plataforma, acorde con los requisitos de las redes móviles de próxima generación.

Para leer más ingrese a:

https://www.nccoe.nist.gov/5g-cybersecurity#project-promo

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.36B.ipd.pdf