La seguridad en redes 5G es un desafío multidimensional: la arquitectura distribuida del 5G — con unidades de radio (RU), distribución (DU), control (CU) y core separados — multiplica los puntos de exposición respecto al 4G centralizado.
Dato clave: Según el European Union Agency for Cybersecurity (ENISA), el 5G introduce al menos 11 nuevas amenazas que no existían en 4G, incluyendo ataques a la interfaz de fronthaul eCPRI, manipulación del plano de control en arquitecturas vRAN, y explotación de vulnerabilidades en contenedores de funciones de red (CNF) en el Core virtualizado.
Superficies de ataque específicas del 5G
Fronthaul: la interfaz eCPRI
La conexión entre la Unidad de Radio (RU) y la Unidad de Distribución (DU) usa el protocolo eCPRI sobre fibra óptica (SFP28 25G o SFP+ 10G). Si esta interfaz no implementa cifrado (el estándar eCPRI base no lo exige), un atacante con acceso físico al enlace puede interceptar el tráfico de radiofrecuencia digitalizado.
Mitigación: Desplegar MACsec (IEEE 802.1AE) en el fronthaul o usar variantes de eCPRI con capa de seguridad integrada. Controlar el acceso físico a los puntos de fibra.
Core virtualizado (vRAN/CNF)
El Core 5G Standalone usa funciones de red virtualizadas (AMF, SMF, UPF) corriendo en contenedores. Los ataques de escape de contenedor, inyección de imágenes maliciosas o compromiso del orchestrator (Kubernetes) pueden afectar funciones críticas de autenticación.
Mitigación: Hardening de Kubernetes (RBAC estricto, network policies, image signing), segmentación de namespaces por función de red.
Multi-access Edge Computing (MEC)
Los nodos de edge en 5G acercan el procesamiento al usuario, pero también crean puntos físicamente distribuidos y menos controlados. Un nodo MEC en una zona industrial puede tener menor seguridad física que el core centralizado.
Autenticación 5G-AKA
El 5G introduce 5G-AKA (Authentication and Key Agreement), que mejora el 4G-EPS-AKA con:
- Protección del SUPI (identificador permanente del suscriptor) mediante cifrado ECIES — ya no viaja en claro como el IMSI en 4G
- Autenticación mutua entre el dispositivo y la red
- Generación de claves de sesión por slice, no globales
Para empresas con redes 5G privadas (campus 5G), esto significa que la autenticación de dispositivos es más sólida que en 4G, pero requiere gestionar certificados y PKI propios si se opera un core privado.
Segmentación y network slicing seguro
| Tipo de slice | Caso de uso | Requisitos de seguridad |
|---|---|---|
| eMBB (banda ancha) | Videoconferencia, datos | Cifrado de plano de usuario, QoS garantizado |
| URLLC (baja latencia) | Control industrial, robots | Aislamiento estricto, latencia <1 ms |
| mMTC (IoT masivo) | Sensores, medidores | Autenticación ligera, prevención DDoS |
La infraestructura óptica que conecta los slices — transceptores QSFP28 100G en los equipos de red del midhaul y backhaul — debe soportar VLANs diferenciadas por slice y QoS marcado con DSCP para favorecer el aislamiento de tráfico entre slices.
EON Technology distribuye transceptores QSFP28 100G y SFP28 25G para la infraestructura de transporte 5G, con operación centralizada desde Colombia para CALA y España.
Ver soluciones de conectividad 5G → | Consultar diseño de infraestructura →