Open RAN es seguro y está listo para su despliegue

Los estándares, productos y soluciones de Redes de Acceso Radio Abiertas (Open Radio Access Networks, RAN) están maduros y listos para su despliegue. La postura de seguridad de Open RAN ha mejorado significativamente en los últimos años hasta alcanzar el nivel esperado por los operadores de redes móviles, como lo demuestran los anuncios realizados en todo el mundo¹.

Las especificaciones de Open RAN de la O-RAN ALLIANCE², conocidas como O-RAN, abren la RAN de múltiples maneras para promover un gran ecosistema multivendedor:

1. La División de Capas Inferiores (Lower Layer Split, LLS) desagrega la Unidad de Radio Abierta (Open Radio Unit, O-RU) y la Unidad Distribuida Abierta (Open Distributed Unit, O-DU) con una interfaz Fronthaul Abierta (Open Fronthaul, FH) entre ellas.
2. Desacoplamiento de la Gestión y Orquestación de Servicios (Service Management and Orchestration, SMO) usando una arquitectura basada en servicios (Service-Based Architecture, SBA).
3. rApps de terceros en el Controlador Inteligente RAN No en Tiempo Real (Non-Real Time RAN Intelligent Controller, Non-RT RIC) y xApps de terceros en el Near-RT RIC.
4. O-Cloud para infraestructura de hardware y software en la nube que soporta Funciones de Red Nativas en la Nube O-RAN (Cloud-native Network Functions, CNFs) en la capa de aplicación.

Aunque Open RAN es la desagregación de la RAN con el objetivo de habilitar un ecosistema multivendedor, introduce nuevas funciones de red e interfaces que presentan desafíos de interoperabilidad y seguridad. La industria ha abordado estos desafíos de manera colaborativa y exitosa en múltiples foros, incluyendo la O-RAN ALLIANCE³, ATIS⁴, ACCoRD⁵, y 3GPP:

• La O-RAN ALLIANCE ha logrado un progreso significativo para fortalecer sus especificaciones⁶ de seguridad O-RAN para asegurar la interfaz Open FH, SMO, Non-RT RIC y O-Cloud.
• 3GPP especificó la seguridad para las interfaces Xn, F1 y NG.
• La Alliance for Telecommunications Industry Solutions (ATIS), en colaboración con sus miembros de la industria, publicó en 2024 su Perfil Mínimo Viable (Minimum Viable Profile, MVP) de Open RAN para establecer un "conjunto mínimo de requisitos técnicos, comunes a todos los operadores de Norteamérica, para fomentar el desarrollo e integración de Open RAN"⁷. El MVP de Open RAN incluye requisitos de seguridad basados en las especificaciones de seguridad de la O-RAN ALLIANCE para un despliegue seguro en las redes de operadores de Norteamérica.
• El Departamento de Comercio de Estados Unidos, a través de la Administración Nacional de Telecomunicaciones e Información (National Telecommunications and Information Administration, NTIA), estableció el proyecto de Aceleración de Compatibilidad y Comercialización para Despliegues de Open RAN (Acceleration of Compatibility and Commercialization for Open RAN Deployments, ACCoRD)⁸ con muchos participantes de la industria, incluyendo AT&T, Verizon y Ericsson.

La industria de las telecomunicaciones está avanzando firmemente en el camino para asegurar Open RAN y proteger la infraestructura crítica móvil de ataques sofisticados, incluyendo Amenazas Persistentes Avanzadas (Advanced Persistent Threats, APTs). La postura de seguridad de O-RAN ahora está al nivel esperado por los operadores móviles.

Búsqueda de ZTA para O-RAN

O-RAN cuenta con una postura de seguridad sólida y lista para el despliegue, basada en las especificaciones de seguridad de la O-RAN ALLIANCE, en la búsqueda de una Arquitectura de Confianza Cero (Zero Trust Architecture, ZTA)⁹  para defenderse contra amenazas internas y externas. El objetivo es proteger contra movimientos laterales adversarios a través de una red y a lo largo de todo el stack de la nube. Las recientes Amenazas Persistentes Avanzadas (Advanced Persistent Threats, APTs) presentes en redes de telecomunicaciones y servicios públicos han resaltado la necesidad de implementar una ZTA en infraestructuras críticas, demostrando que el vector inicial de ataque en estas infraestructuras a menudo no es el objetivo principal. El papel de la ZTA para proteger contra las APTs se aborda con mayor detalle en Evolving the security posture of 5G networks and How Ericsson defends against cyber threats to networks.

La O-RAN ALLIANCE sigue cuatro principios básicos de la Arquitectura de Confianza Cero (Zero Trust Architecture, ZTA) para redes de comunicaciones:

1. Cada función de red es un recurso asegurado como un micro-perímetro, proporcionando gestión de acceso, protección de datos y disponibilidad del sistema.
2. Se proporciona protección de confidencialidad e integridad para los datos en tránsito en interfaces externas e internas, así como para los datos en reposo.
3. La autenticación y autorización se aplican por sesión para sujetos externos e internos, siguiendo el principio de privilegio mínimo.
4. Se implementan monitoreo continuo, registro y alertas para detectar y responder a eventos de seguridad.

Controles de seguridad especificados para O-RAN

La Especificación de Requisitos y Controles de Seguridad de O-RAN (O-RAN Security Requirements and Controls Specification, SRCS)¹⁰ aborda la confidencialidad, integridad, autenticación, autorización y disponibilidad para las funciones e interfaces de red de O-RAN, como se muestra en la Figura 1.

Figura 1. Arquitectura Lógica de O-RAN [Descripción de la Arquitectura O-RAN (OAD) Especificación Técnica, O-RAN ALLIANCE]

Los requisitos de seguridad cubren de manera integral la arquitectura O-RAN para el SMO, los RICs Non-RT y Near-RT, rApps y xApps, O-CU-CP, O-CU-UP, O-DU, O-RU, los elementos de arquitectura O-Cloud y las interfaces A1, O1, O2, R1 y Open FH con los siguientes controles de seguridad especificados¹¹:

• Los datos en tránsito en las interfaces O-RAN Open FH M-Plane, O1, O2 y R1 están protegidos mediante Transport Layer Security (TLS) 1.2 y TLS 1.3. Las interfaces O1 y Open FH M-Plane permiten el uso de Secure Shell (SSH) v2.
• Para las interfaces con TLS, se admite la autenticación mutua utilizando mutual TLS (mTLS) 1.2 y mTLS 1.3, con gestión de certificados proporcionada por el Protocolo de Gestión de Certificados (Certificate Management Protocol, CMP) v2.
• La autorización es compatible mediante OAuth 2.0, el Modelo de Control de Acceso NETCONF (NETCONF Access Control Model, NACM) y el Protocolo Ligero de Acceso a Directorios (Lightweight Directory Access Protocol, LDAP) con Start TLS, según lo especificado para cada interfaz.
• Como el objetivo de O-RAN es lograr una Arquitectura de Confianza Cero (Zero Trust Architecture, ZTA) para proteger contra amenazas internas y externas, TLS, mTLS y OAuth también son requeridos para la comunicación interna del SMO entre los Servicios SMO (SMOSs), entre rApps y entre SMOSs y rApps en la arquitectura basada en servicios del SMO.

El análisis de amenazas de O-RAN está documentado en el documento de Modelado de Amenazas y Evaluación de Riesgos de O-RAN t¹², realizado utilizando el modelo STRIDE¹³: Suplantación (autenticación), Manipulación (integridad), Repudio (no repudio), Divulgación de información (confidencialidad), Denegación de servicio (disponibilidad) y Elevación de privilegios (autorización). Se proporcionan casos de prueba para cada control de seguridad especificado en la Especificación de Pruebas de Seguridad de O-RAN (Security Test Specification, STS)¹⁴. El Grupo de Trabajo 11 (WG11) de la O-RAN ALLIANCE para seguridad continúa avanzando en la postura de seguridad a medida que la arquitectura de O-RAN evoluciona con IA/ML, APIs y una arquitectura basada en servicios para SMO.

Ericsson está liderando la seguridad de O-RAN

Es importante contar con estándares de seguridad para O-RAN, y Ericsson lidera la estandarización de seguridad de O-RAN en la O-RAN ALLIANCE, pero los proveedores de productos O-RAN deben implementar esos estándares. La solución Open RAN de Ericsson, que incluye Cloud RAN, Cloud-Native Infrastructure Software (CNIS) y la Plataforma de Automatización Inteligente de Ericsson (Ericsson Intelligent Automation Platform, EIAP), proporciona seguridad que cumple con los requisitos de seguridad especificados por la O-RAN ALLIANCE. EIAP es el producto SMO de Ericsson para visibilidad, inteligencia y automatización en todo el despliegue de O-RAN. Mejora el objetivo de un Open RAN multivendedor al proporcionar incorporación segura y operación en tiempo real de rApps. El Servicio de Certificación de rApps de Ericsson fomenta un ecosistema robusto de rApps de terceros y ayuda a que estos terceros diseñen y construyan rApps seguras con interfaz R1 conforme a las especificaciones de O-RAN para validar su preparación para integrarse con EIAP¹⁵.

Un conjunto de características de seguridad implementadas en los productos por sí solo no es suficiente para construir una red segura. La mejor defensa contra las Amenazas Persistentes Avanzadas (APTs) es incorporar la seguridad durante las fases de diseño, desarrollo y operaciones de las redes y productos de red. Los proveedores de productos O-RAN que integran características de seguridad estandarizadas deben también seguir procesos seguros de desarrollo de software, implementar aseguramiento de la seguridad y robustecer el sistema siguiendo las mejores prácticas. En la fase de operaciones, la monitorización continua para visibilidad de posibles explotaciones junto con detección de ataques en tiempo real basada en IA fortalece la postura de seguridad de la red para defender mejor contra APTs sofisticadas.  

En Ericsson, incorporamos sistemáticamente la seguridad en todos los aspectos y fases relevantes del flujo de valor de nuestros productos de extremo a extremo para un desarrollo seguro de software. Nuestros procesos en esta área siguen un marco de control interno bien establecido conocido como Ericsson Security Reliability Model (SRM)¹⁶. Ericsson alinea su organización, procesos y sistemas con estándares industriales y regulatorios, incluyendo el Esquema de Aseguramiento de Seguridad de Equipos de Red (Network Equipment Security Assurance Scheme, NESAS) de GSMA. Los resultados de conformidad NESAS para los productos Cloud RAN diseñados por Ericsson están publicados en GSMA | NESAS Conformance Results - Industry Services.

Ericsson Security Manager (ESM) es una herramienta poderosa que ayuda a los proveedores de servicios móviles a operacionalizar la gestión de seguridad, así como a implementar las mejores prácticas para el fortalecimiento del sistema. Con ESM, Ericsson proporciona las capacidades críticas necesarias para defenderse contra Amenazas Persistentes Avanzadas (APTs) y su movimiento lateral. Las soluciones de ciberdefensa de Ericsson ofrecen herramientas para operacionalizar la gestión de seguridad y mitigar eficazmente las APTs en redes móviles¹⁷. Gestionar las configuraciones de seguridad junto con la detección temprana de APTs previene tácticas como el acceso inicial y el movimiento lateral, y brinda al equipo de seguridad tiempo para responder antes de que los datos puedan ser exfiltrados hacia infraestructuras controladas por atacantes.  

O-RAN está listo para su despliegue

La industria de las telecomunicaciones continúa en su búsqueda de una Arquitectura de Confianza Cero (Zero Trust Architecture, ZTA) para defenderse contra ataques externos e internos, incluyendo Amenazas Persistentes Avanzadas (APTs), basándose en la suposición de que el adversario ya está dentro de la red, porque, como han demostrado eventos recientes, así es. La base de la ZTA en toda una red de extremo a extremo es asegurar productos construidos sobre especificaciones seguras, principios de seguridad desde el diseño, marcos de desarrollo de software seguros y aseguramiento de la seguridad del producto. La O-RAN ALLIANCE ha logrado un gran progreso para fortalecer la seguridad de O-RAN y alcanzar una postura de seguridad al mismo alto nivel que las redes tradicionales.

Los productos de Ericsson compatibles con la O-RAN ALLIANCE permiten a los operadores alcanzar este alto nivel de seguridad. Ericsson implementa las especificaciones de seguridad de la O-RAN ALLIANCE en sus productos Cloud RAN, CNIS y EIAP. Estos productos son seguros desde el diseño, utilizando el proceso de desarrollo seguro de Ericsson con soporte para controles de seguridad basados en estándares. Esto permite a los operadores lograr una Arquitectura de Confianza Cero (Zero Trust Architecture, ZTA) en sus redes. Ericsson continuará liderando la seguridad de productos y la estandarización de seguridad en organismos industriales, incluyendo la O-RAN ALLIANCE y 3GPP.

Lecturas adicionales

• Evolving Open RAN security
• Open RAN (O RAN)
• Intelligent Security
• Referenced O-RAN ALLIANCE specifications can be downloaded

Referencias

1. AT&T to Accelerate Open and Interoperable Radio Access Networks (RAN) in the United States through new collaboration with Ericsson
2. O-RAN Downloads
3. O-RAN ALLIANCE Security Update 2025
4. Open RAN Minimum Viable Profile
5. Open RAN Progress Report: Major Milestones in 2024 - Ericsson
6. O-RAN Security Requirements and Controls Specifications v11.0, O-RAN ALLIANCE, O-RAN Downloads
7. Open RAN Minimum Viable Profile
8. Home Page | National Telecommunications and Information Administration
9. SP 800-207, Zero Trust Architecture | CSRC
10. https://www.o-ran.org/specifications
11. O-RAN Security Requirements and Controls Specification (SRCS), O-RAN ALLIANCE
12. O-RAN Threat Modeling and Risk Assessment Technical Report, O-RAN ALLIANCE
13. The STRIDE Threat Model | Microsoft Learn
14. O-RAN Security Test Specification (STS) Technical Specification, O-RAN ALLIANCE
15. EIAP Ecosystem for automation applications - join now - Ericsson
16. The Ericsson Security Reliability Model – security by design
17. How Ericsson defends against cyber threats to networks