# Reino Unido debilita protecciones de ciberseguridad en telecomunicaciones en medio de presión de la industria El Reino Unido ha debilitado, según informes, protecciones críticas de ciberseguridad para sus redes de telecomunicaciones, medidas concebidas inicialmente en respuesta directa a la campaña de espionaje **Salt Typhoon**. Documentos revisados por Recorded Future News indican que esta reversión se produjo después de que las empresas de telecomunicaciones presionaran contra los requisitos propuestos, citando preocupaciones sobre costos y practicidad. Si bien ni el gobierno británico ni la industria de las telecomunicaciones han confirmado compromisos en las redes del Reino Unido por parte de la campaña **Salt Typhoon**, vinculada a China, el **National Cyber Security Centre (NCSC)** declaró previamente que hackers chinos a nivel mundial "atacaron organizaciones en sectores críticos", observándose "un grupo de actividad en el Reino Unido". ## Una Tensión Mayor en la Seguridad Nacional Esta decisión resalta una tensión recurrente descrita por funcionarios de seguridad e inteligencia occidentales: una industria que busca asistencia gubernamental contra hackers respaldados por estados, pero que luego se resiste al acceso y las obligaciones necesarias para una defensa efectiva. Un alto funcionario de un aliado de la OTAN relató un escenario en el que una gran empresa de telecomunicaciones solicitó ayuda contra presuntos hackers chinos, solo para negarle el acceso a la red a la agencia que brindaba asistencia. Históricamente, este no era el caso. **Ciaran Martin**, fundador del **NCSC**, señaló que cuando se desarrolló el marco de seguridad para las telecomunicaciones, los ejecutivos de la industria buscaron activamente la regulación, viéndola como un mandato legal para justificar las inversiones en seguridad ante los accionistas. ## El Génesis de las Nuevas Medidas Las medidas de ciberseguridad ahora debilitadas fueron propuestas inicialmente en agosto pasado por el **Department for Science, Innovation and Technology (DSIT)**. Formaron parte de una consulta para un código de práctica actualizado que rige cómo los proveedores de telecomunicaciones deben asegurar sus redes. La iniciativa se lanzó en respuesta a ataques vinculados a estados contra redes de telecomunicaciones de EE. UU., que salieron a la luz después de los incidentes de **Salt Typhoon**. Empresas como **BT**, **VMO2**, **VodafoneThree**, **Sky**, **Ericsson** y **Amazon Web Services** presentaron respuestas a la consulta. **TechUK**, el organismo comercial de la industria, coordinó una presentación colectiva. Si bien **TechUK** afirmó su participación activa en el desarrollo del Código, asegurando que el marco era "apropiado, proporcionado y técnicamente viable", ninguna de las empresas proporcionó una declaración al momento de la publicación. Cuando el gobierno respondió a la consulta la semana pasada, muchas de sus medidas más significativas fueron eliminadas o pospuestas. Estas reversiones, no reportadas previamente, entrarán en vigor a mediados de julio a menos que el Parlamento se oponga. El Código se emite bajo la **Telecommunications (Security) Act 2021**, que exige a los proveedores implementar medidas de seguridad apropiadas y proporcionales. Aunque es una guía más que una ley directa, **Rob Bratby**, socio director de **Bratby Law**, explica que sirve como un "punto de referencia" crítico. Desviarse sin una razón defendible, señala, podría resultar en multas de hasta el diez por ciento de la facturación. ## Protecciones Clave Abandonadas o Retrasadas Varios protecciones cruciales han sido abandonadas o pospuestas: * **Sistemas Independientes de Detección de Intrusiones de Señalización:** Se eliminó el requisito de que los proveedores implementen un sistema separado, idealmente de un proveedor diferente, para monitorear el tráfico saliente en busca de controles eludidos. Estos sistemas estaban diseñados para detectar los métodos de robo de datos característicos de la campaña **Salt Typhoon**, que afectó a más de 80 países. * **Señalización de Entrada No Confiable:** También se eliminó el mandato para que las empresas de telecomunicaciones traten la señalización entrante como no confiable por defecto. Los atacantes explotan con frecuencia los protocolos de telecomunicaciones que asumen que los mensajes de otras redes son confiables. * **Reinicios Mensuales de Equipos de Red:** Un requisito para reiniciar el equipo de red mensualmente, diseñado para borrar malware sofisticado que reside solo en memoria, fue considerado inviable por los proveedores. Las reglas revisadas ahora solo recomiendan reinicios "cuando sea factible". * **Seguridad de Cuentas de Servicio:** Los requisitos para asegurar las cuentas de servicio, cuentas automatizadas en segundo plano con acceso amplio, identificadas por el gobierno como un "objetivo principal de compromiso", se han pospuesto de finales de 2028 a finales de 2029. * **Mapeo de Vulnerabilidades y Pruebas de Defensa:** Las medidas que exigen a los proveedores mapear sus vulnerabilidades, probar sus defensas y documentar la comunicación del sistema con el mundo exterior también se han retrasado de manera similar. El informe de seguridad de **Ofcom** de diciembre de 2025 ya había indicado que es probable que algunos de los mayores proveedores de Gran Bretaña no cumplan los plazos existentes para las medidas de gestión de identidad y acceso, un área que incluye la seguridad de las cuentas de servicio. **Rob Bratby** expresó preocupación por el retraso en las cuentas de servicio, afirmando que es difícil conciliarlo con la propia evaluación de amenazas del gobierno. "Las cuentas de servicio son precisamente donde un atacante capaz quiere estar... y el gobierno lo dice en su respuesta". ## Un Cálculo de Proporcionalidad Unilateral En respuesta a Recorded Future News, un portavoz del **DSIT** declaró: "El Reino Unido ya cuenta con uno de los marcos de seguridad de telecomunicaciones más sólidos del mundo... Hemos trabajado en estrecha colaboración con el **NCSC** para garantizar que se tengan en cuenta los comentarios de la industria... junto con la cambiante amenaza de seguridad, y los costos y las practicidades de implementar estas nuevas medidas de orientación." Sin embargo, las evaluaciones de proporcionalidad para cada reversión siguieron consistentemente un patrón: se propuso una medida, los proveedores objetaron su costo o practicidad, y la medida fue posteriormente eliminada, suavizada o retrasada. Crucialmente, ninguna de las evaluaciones publicadas tuvo en cuenta el costo potencial de una intrusión exitosa por parte de un estado hostil en la infraestructura de telecomunicaciones del Reino Unido. Siete de los mayores proveedores de Gran Bretaña presentaron estimaciones de costos confidenciales en una encuesta complementaria, que no se han publicado. **Rob Bratby** argumentó que el estándar legal del gobierno requiere una contabilidad más completa. "Un ejercicio de proporcionalidad que solo cuenta lo que el cumplimiento le cuesta a la industria, y no lo que un incidente le costaría al país, está incompleto en sus propios términos". **Ciaran Martin**, ahora profesor en la **Blavatnik School of Government** de Oxford, se hizo eco de estas preocupaciones: "Se supone que se deben evaluar estas medidas frente al costo del daño probable a la seguridad nacional. ¿Contra qué más se está midiendo?" Si bien el gobierno ha publicado previamente tales evaluaciones para otra legislación, estimando que los ciberataques le cuestan a la economía británica £14.7 mil millones ($19.7 mil millones) anualmente para respaldar la **Cyber Security and Resilience Bill**, no se produjo un análisis equivalente para el sector de las telecomunicaciones. **Ollie Whitehouse**, director de tecnología del **NCSC**, había identificado previamente esto como un problema sistémico en una publicación de blog de junio de 2025. Argumentó que las decisiones de inversión en ciberseguridad a menudo subestiman los costos posteriores porque estos costos son asumidos por los clientes y el público, no por las empresas que realizan la inversión inicial. "El costo de la subinversión en ciberseguridad, en última instancia, no lo asumen los proveedores, sino los clientes, las aseguradoras, el gobierno y la sociedad en general", escribió. Si bien algunas reversiones podrían explicarse como el proceso normal de consulta, con la industria demostrando métodos de cumplimiento alternativos, la escala de los cambios y la falta de un análisis integral de costo-beneficio plantean serias preocupaciones sobre la preparación del Reino Unido contra amenazas cibernéticas sofisticadas respaldadas por estados.