Confianza comprometida: Vulnerabilidades técnicas e implicaciones geopolíticas de Huawei en la infraestructura del Gobierno de EEUU

En la era digital, los gobiernos dependen de sistemas robustos y seguros para intercambiar datos altamente sensibles. Las violaciones de comunicaciones militares clasificadas, intercambio de inteligencia o cables diplomáticos pueden tener consecuencias catastróficas para la seguridad nacional, las alianzas extranjeras y la confianza pública. Por lo tanto, la garantía de confidencialidad e integridad de extremo a extremo es una prioridad técnica y de política no negociable en cualquier sistema de comunicaciones gubernamentales.

Huawei como un estudio de caso: Contexto, relevancia geopolítica y uso en el sector público

Huawei es uno de los mayores proveedores mundiales de equipos de telecomunicaciones y redes. Aprovechando décadas de rápida innovación e inversión respaldada por el Estado, ha penetrado con éxito en mercados de infraestructura pública en Asia, Europa, África y las Américas. En numerosos países, incluidos aquellos dentro de la OTAN y la UE, los componentes de Huawei han formado la columna vertebral de la infraestructura pública de telecomunicaciones, plataformas de interceptación judicial e incluso servicios de nube gubernamentales.

Esta adopción generalizada no está exenta de controversia: las acusaciones de robo de propiedad intelectual, opacidad regulatoria y, lo más crítico, vínculos cada vez más profundos con el gobierno chino (particularmente sus agencias de inteligencia y militares) han colocado a Huawei en el punto de mira de los debates de seguridad global.

Visión general de riesgos técnicos: Vulnerabilidades de hardware

Una preocupación principal es la posibilidad de “puertas traseras” integradas a nivel de hardware (rutas indetectables que podrían permitir a actores externos escuchar, controlar o interrumpir comunicaciones). Investigaciones en EEUU y naciones aliadas han citado escenarios de riesgo donde la manipulación de la cadena de suministro o chipsets propietarios permiten acceso privilegiado y no monitoreado a los flujos de datos gubernamentales.

Una complicación adicional es la falta de certificación independiente y transparente de los pasos de la cadena de suministro. Los equipos de Huawei, en virtud de los estándares opacos de verificación de China, son difíciles de auditar de manera concluyente, lo que significa que fallas no intencionales o amenazas intencionales pueden permanecer sin ser detectadas a lo largo del ciclo de vida del producto.

Riesgos de software y actualizaciones de firmware

Los dispositivos de Huawei ejecutan sistemas operativos y firmware complejos y propietarios. El análisis técnico ha demostrado que funciones no documentadas (a veces descubiertas por investigadores externos) crean oportunidades para la extracción no autorizada de datos.

Los mecanismos de actualización remota, que son esenciales para corregir vulnerabilidades, también pueden ser armados: si un proveedor es obligado por ley nacional a habilitar acceso encubierto o vigilancia, la ejecución remota de código podría convertirse en una puerta de entrada para el espionaje. Bajo la Ley de Inteligencia Nacional de China, empresas como Huawei pueden estar legalmente obligadas a cumplir con tales solicitudes, incluso a través de fronteras internacionales.

Fundamentos legales y políticos: Sinopsis de la legislación china y mandatos del Estado

La Ley de Inteligencia Nacional de 2017 de China y la Ley de Seguridad de Datos de 2021 obligan a las compañías domésticas a apoyar operaciones de inteligencia del Estado, lo cual puede incluir otorgar acceso o facilitar la recolección de datos extranjeros almacenados o transmitidos en sus sistemas.

Este mandato legal introduce un riesgo profundo: incluso si la arquitectura técnica es segura en teoría, la cooperación secreta con agencias estatales puede anular cualquier contramedida técnica. Esto lo cambia todo: Huawei, por ley, debe mantener al gobierno chino al tanto de las conexiones que manejan, y los datos relacionados (por favor vea la referencia en chino, y use la función de traducción del navegador para acceder a la ley original).

Estudios de caso de exfiltración de datos documentados

Precedentes prominentes subrayan estos riesgos. En la violación de datos de la sede de la Unión Africana, se descubrió que los servidores suministrados por Huawei habían transmitido regularmente datos confidenciales a servidores en China durante varios años.

Acusaciones similares han surgido en Europa y las Américas, apoyadas por análisis forenses técnicos e informes de inteligencia que sugieren que canales de exfiltración de datos —ya sea intencionales o debido a controles de acceso débiles— son un peligro claro y presente donde el equipo de Huawei se despliega para funciones gubernamentales sensibles.

Vulnerabilidades del mundo real: Resumen de CVEs publicadas relevantes para Huawei

En la última década, un creciente cuerpo de Vulnerabilidades y Exposiciones Comunes (CVEs) ha puesto de relieve debilidades en software y hardware de Huawei, incluyendo:

• Controles de acceso insuficientes o defectuosos que permiten escalada de privilegios o acceso no autorizado al sistema.
• Explotaciones que permiten transmisión de datos sensibles no cifrados o pobremente cifrados, haciendo posible la interceptación y manipulación.
• Vulnerabilidades en interfaces de administración remota, permitiendo a atacantes tomar control de activos críticos de red.

Evidencia citada por EEUU y aliados

Revisiones técnicas del Departamento de Defensa de los EEUU, FBI, FCC y socios internacionales han citado repetidamente la falta de certificación significativa de terceros y la ausencia persistente de contramedidas efectivas en el enfoque de Huawei hacia la garantía de confidencialidad.

Numerosas prohibiciones en EEUU, Reino Unido, Australia y partes de Europa se atribuyen directamente a estas brechas de seguridad no resueltas. Esto, por sí mismo, es una recomendación directa aunque informal de no usar Huawei para nada relacionado con el gobierno.

Espionaje y preocupaciones de seguridad nacional: mecanismos de vigilancia integrados y pérdida de soberanía de los datos

El temor más agudo es que cualquier gobierno que despliegue Huawei para comunicaciones confidenciales no pueda garantizar control exclusivo sobre sus propios datos. Incluso cuando los representantes de Huawei niegan puertas traseras o accesos no autorizados a datos, la realidad técnica es que el acceso remoto mandatado por el Estado (bajo la ley china) podría implementarse de maneras sutiles y difíciles de detectar, especialmente a través de firmware o exploits de actualización remota.

Riesgos para el intercambio de inteligencia y la coordinación

Esta incertidumbre persistente ha llevado a los Estados Unidos y a los aliados de Five Eyes a suspender o condicionar la cooperación de inteligencia con países que usan infraestructura de Huawei para intercambio de datos críticos o clasificados.

En España, por ejemplo, legisladores estadounidenses han pedido la redacción de inteligencia compartida por temores de que los sistemas basados en Huawei pudieran filtrar información operacional sensible a la comunidad de inteligencia china, un movimiento que podría paralizar asociaciones de seguridad basadas en la confianza.

Contraargumentos y posición del proveedor

Posición oficial de Huawei

Representantes de Huawei regularmente niegan alegaciones de proveer puertas traseras gubernamentales o acceso no autorizado a datos. La compañía enfatiza su compromiso con el cumplimiento legal en países anfitriones, invita auditorías independientes, y resalta la falta de evidencia pública que respalde sabotaje o actividad deliberada de puertas traseras en sus implementaciones comerciales.

Revisión de auditorías independientes

Mientras algunas auditorías técnicas (incluyendo evaluaciones del Reino Unido y la UE) periódicamente revisan código y hardware de Huawei, estos procesos han sido limitados en alcance o profundidad. La opacidad de los pasos de la cadena de suministro y la imposibilidad de descartar características deliberadas y ocultas socavan la confianza en que componentes vulnerables o maliciosos puedan ser excluidos de manera definitiva de sistemas operacionales.

Esto, por sí mismo, debería ser suficiente para no usar Huawei en ninguna operación relacionada con el gobierno.

Recomendaciones de política y defensa

Modelos de proveedor alternativos y enfoques de confianza cero

Una postura defensiva robusta llama a más que soluciones técnicas. Los Gobiernos deberían adoptar un paradigma de confianza cero, presumir que ningún equipo de ningún proveedor es absolutamente seguro, usar diversificación de proveedores y hacer cumplir una higiene estricta de la cadena de suministro que obligue auditorías independientes y continuas en todos los niveles de la pila.

Evaluación continua de vulnerabilidades y cumplimiento

Redes gubernamentales deberían desplegar escaneo continuo de vulnerabilidades, marcos de cumplimiento rigurosos (modelados en estándares como NIST SP 800-53), y exigir rotación regular o remoción de hardware de procedencia incierta, especialmente para sistemas que manejan comunicaciones clasificadas o sensibles.

Profundizando en el sistema operativo y explorando por qué los usuarios finales están fascinados por Huawei: Realidades, mitos y dudas

El HarmonyOS de Huawei usa un sistema de seguridad fuerte y multinivel para proteger dispositivos, mantener datos seguros y detener hackers. Combina seguridad de hardware, pequeñas partes seguras en el núcleo del sistema y reglas estrictas sobre quién puede acceder a qué.

Tenga en cuenta que HarmonyOS es usado principalmente en ecosistemas de dispositivos IoT tales como teléfonos inteligentes, tabletas, televisores inteligentes y otros dispositivos inteligentes de consumo, mientras los dispositivos de red y seguridad de Huawei operan principalmente en plataformas de sistemas operativos especializados y propietarios como aquellos en la Xinghe Intelligent Network Solution y la familia de seguridad HiSecEngine.

Así es como funciona en términos simples:

• Niveles de seguridad para dispositivos: El sistema operativo agrupa dispositivos en cinco niveles de seguridad, de SL1 a SL5. Mientras más alto el nivel, más fuertes las protecciones. Los dispositivos SL5 tienen hardware especial que detiene manipulaciones y software que se revisa muy cuidadosamente para evitar errores o puertas traseras. Cada nivel agrega más características de seguridad como inicio seguro, defensa contra ataques y protección extra para información privada.
• Bloques de construcción de seguridad de hardware: El sistema usa tres protecciones importantes de hardware llamadas Raíces de Confianza que ofrecen:
• Protección de arranque: Asegura que cuando un dispositivo encienda, solo software seguro y aprobado comience a correr.
• Protección de almacenamiento: Mantiene llaves secretas e información privada bloqueadas y seguras dentro del dispositivo.
• Protección de cómputo: Usa hardware especial para ejecutar tareas sensibles en un área protegida para que ningún hacker o software malicioso pueda espiar o cambiarlas.
• Pequeño núcleo seguro (Microkernel): A diferencia de sistemas operativos más grandes, donde muchos componentes operan con privilegios amplios y son más vulnerables a errores o ataques, este mantiene su núcleo mínimo y corre servicios adicionales en aislamiento. Este diseño asegura que si una parte es comprometida, las demás permanezcan protegidas.
• El sistema también usa verificaciones matemáticas especiales llamadas verificación formal para asegurarse de que el núcleo no tenga errores o puntos débiles.
• Quién puede acceder a qué: El OS es estricto sobre quién puede usar qué, basado principalmente en dos sistemas combinados:
• Uno que asegura que usuarios o aplicaciones no accedan a datos más allá de su nivel de permiso (etiquetas de seguridad).
• Otro donde los dueños de archivos deciden quién puede leer o escribir sus archivos.
• Solo aplicaciones y actualizaciones con “firmas” oficiales (sellos confiables) pueden ser instaladas. Software desconocido es bloqueado. Dispositivos de baja seguridad no pueden controlar o engañar dispositivos de alta seguridad —por ejemplo, su pulsera de ejercicio no puede hacer un gran pago a través de su teléfono sin permiso.
• Defensa contra ataques comunes: El sistema usa “canarios” —una verificación especial dentro de la memoria para atrapar trucos de hackers que intentan desbordar o corromper la memoria, deteniendo ataques antes de que causen daño.
• Protocolos especiales de comunicación: HarmonyOS usa su propio sistema de red seguro llamado DSoftBus para conectar dispositivos. Descubre de forma segura quién está en la red, verifica identidades y cifra todos los datos enviados entre dispositivos para mantener conversaciones privadas y seguras.

La falta de transparencia nuevamente es preocupante. Además, conectar dispositivos de fabricantes con posturas de seguridad opacas, como Huawei, a infraestructuras de seguridad empresarial como firewalls de Cisco, Fortinet o CheckPoint presenta riesgos técnicos significativos.

Los análisis de firmware revelan que los dispositivos Huawei contienen una alta densidad de vulnerabilidades conocidas, promediando más de 100 por dispositivo, incluyendo problemas críticos y de alta severidad.

Apoyo político de las agencias del Gobierno de EEUU a la prohibición de Huawei

La prohibición de Huawei fue introducida y principalmente aplicada por la administración Trump. En mayo de 2019, el presidente Trump firmó una orden ejecutiva diseñada para asegurar la cadena de suministro de tecnología de la información y comunicaciones.

Bajo la administración Biden, estas restricciones se han mantenido en gran parte e incluso se han expandido. Se han implementado nuevas reglas para prohibir más ventas de equipos Huawei por parte de compañías estadounidenses y para prevenir que Huawei obtenga nuevas licencias desde 2021.

Conclusiones

Huawei ha integrado hábilmente diversos componentes de sistemas operativos para comercializar sus productos como innovadores y seguros. Sin embargo, este logro está ensombrecido por la negligencia completa e innegable de aquellos encargados de decisiones de adquisiciones. Estos responsables han ignorado flagrantemente detalles técnicos críticos, demostrando una total falta de conocimiento y experiencia en ciberseguridad.

Es nada menos que catastrófico que entidades gubernamentales responsables de proteger infraestructura nacional se hayan dejado engañar por garantías superficiales y presentaciones pulidas —lo que solo puede describirse como el “efecto del buen hablador”.

La adopción de tecnología Huawei por parte del Gobierno se hizo por individuos que exhibieron una alarmante deficiencia en conocimiento técnico y experiencia en ciberseguridad, basando sus conclusiones no en análisis rigurosos o evaluación informada, sino más bien en búsquedas superficiales en internet y opiniones recicladas.

Esto refleja un fracaso catastrófico de gobernanza y supervisión técnica, colocando la seguridad nacional en un riesgo inaceptable.

Referencias

Bangkok Post. (2023, 28 de septiembre). Huawei busca transparencia en ciberseguridad. https://www.bangkokpost.com/business/general/2654730/huawei-eyes-cybersecurity-

BBC News. (2022, 25 de noviembre). EE. UU. prohíbe la venta de tecnología de Huawei y ZTE en medio de temores de seguridad. https://www.bbc.com/news/world-us-canada-63764450

Bloomberg. (2025, 14 de mayo). Lo que el regreso de Huawei dice sobre la guerra tecnológica EE. UU.-China. https://www.bloomberg.com/news/articles/2025-05-14/china-s-huawei-how-did-it-survive-bans-by-us-and-allies

China Law Translate. (s. f.). Ley de Inteligencia Nacional de la R.P.C. (2017). https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/

Consejo de Relaciones Exteriores. (2019, 11 de junio). ¿Es Huawei de China una amenaza para la seguridad nacional de EE. UU.? https://www.cfr.org/backgrounder/chinas-huawei-threat-us-national-security

EM360Tech. (2025, 16 de febrero). ¿Por qué fue prohibida Huawei? Una mirada al gigante de las telecomunicaciones. https://em360tech.com/tech-articles/why-was-huawei-banned-look-telecoms-giant

Comisión Federal de Comunicaciones [FCC]. (2024, 13 de febrero). La FCC prohíbe la venta de nuevos dispositivos de las compañías chinas Huawei, ZTE y otras. https://cset.georgetown.edu/article/fcc-bans-sale-of-new-devices-from-chinese-companies-huawei-zte-and-others/

Fortinet. (2024). ¿Qué es un firewall? Definición y tipos de firewall. https://www.fortinet.com/lat/resources/cyberglossary/firewall

G2. (2024, 6 de noviembre). Las 10 principales alternativas y competidores de seguridad de red de Huawei. https://www.g2.com/products/huawei-network-security/competitors/alternatives/

Huawei. (2019, 4 de marzo). Transparencia - Centro de Transparencia de Ciberseguridad de Huawei. https://www.huawei.com/en/trust-center/transparency

Kaspersky. (2019). ¿Qué es un firewall? Cómo funcionan y tipos. https://www.kaspersky.es/resource-center/definitions/firewall

NPC Observer. (2025, 3 de agosto). Ley de Inteligencia Nacional. https://npcobserver.com/legislation/national-intelligence-law/

PeerSpot. (2024, 31 de diciembre). Las 10 principales alternativas y competidores de protección inteligente de red de Huawei. https://www.peerspot.com/products/huawei-network-intelligent-protection-alternatives-and-competitors

Reuters. (2022, 25 de noviembre). EE. UU. prohíbe nuevas ventas de equipos de Huawei y ZTE, citando riesgo de seguridad nacional. https://www.reuters.com/business/media-telecom/us-fcc-bans-equipment-sales-imports-zte-huawei-over-national-security-risk-2022-11-25/

SelectHub. (2025, 6 de julio). Principales alternativas y competidores de firewall de Huawei 2025. https://www.selecthub.com/firewall-software/huawei-firewall/alternatives/

Talaat, T. (2025, 9 de julio). La posición estratégica de Huawei en el Cuadrante Mágico de Gartner. LinkedIn. https://www.linkedin.com/pulse/huaweis-strategic-position-gartner-magic-quadrant-analysis-talaat-tpxof

Departamento de Estado de EE. UU. (2020, 30 de noviembre). Estados Unidos restringe aún más el acceso de Huawei a la tecnología estadounidense. https://2017-2021.state.gov/the-united-states-further-restricts-huawei-access-to-u-s-technology/

Wikipedia contributors. (2019, 3 de abril). Críticas a Huawei. En Wikipedia. https://en.wikipedia.org/wiki/Criticism_of_Huawei

Congreso Nacional del Pueblo de la República Popular China (2017). [Ley de Inteligencia Nacional de la República Popular de China]. http://www.npc.gov.cn/npc/index.html

Publicado en el Miami Strategic Intelligence Institute (MSI²).