I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49797
pueden ser impactados), como el tipo de impacto del ataque (fuga de credenciales,
disminución de disponibilidad, etc.).
Los posibles valores del Impacto en red del ataque son: Muy Alto, Alto, Medio, Bajo,
teniendo en cuenta los criterios anteriores.
c) Nivel de riesgo: Es el resultado de las dos variables anteriores siguiendo la
fórmula descrita arriba.
Los posibles valores del nivel de riesgo son: Crítico, Alto, Medio, Bajo.
5.2
Matriz de riesgos.
Atendiendo a las consideraciones del apartado anterior, se presenta la matriz
genérica que caracteriza los niveles de riesgo que se analizan posteriormente en este
documento.
6. Amenazas o riesgos en una red 5G SA
Una vez identificados los activos y caracterizada su criticidad, el siguiente paso en el
análisis de riesgos es evaluar las amenazas o posibles ataques a las que están
expuestos cada uno de estos activos de red 5G SA.
Es importante destacar que una misma amenaza puede tener distinto nivel de riesgo
en función del activo o entorno sobre el que se evalúe, de cara a establecer las
prioridades correctas de acciones mitigadoras que permitan incrementar, en una misma
línea temporal, la seguridad de la solución de la manera más eficiente posible.
A continuación, se detallan las amenazas o riesgos en una red 5G SA:
a) Actividades maliciosas debidas a accesos indebidos o maliciosos a la gestión,
extracción de información sensible o modificación no autorizada de parametrización que
provoque la indisponibilidad del elemento.
i. Intrusiones en la red con el objetivo de obtener información, a través de accesos
maliciosos, movimientos laterales, escalado de privilegios, por falta de políticas de
seguridad robustas (ausencia de control de acceso, autenticación, autorización,
segmentación, hardening, etc). Destaca, entre otros la obtención de credenciales de
usuarios operadores, información sensible de clientes (datos, identificadores de usuario,
claves de autenticación, cifrado e integridad), o información útil de configuración de red
(puertos, versiones, etc.), que sirva como vector de información adicional para realizar
ataques de mayor impacto.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Se trata de aquellas acciones llevadas a cabo por atacantes internos o externos que
van dirigidas a los elementos o funciones de red e infraestructura con la intención de
robar información, alterarla o destruir, mediante configuración, un objetivo específico.
En este bloque se engloban, entre otras, las siguientes amenazas:
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49797
pueden ser impactados), como el tipo de impacto del ataque (fuga de credenciales,
disminución de disponibilidad, etc.).
Los posibles valores del Impacto en red del ataque son: Muy Alto, Alto, Medio, Bajo,
teniendo en cuenta los criterios anteriores.
c) Nivel de riesgo: Es el resultado de las dos variables anteriores siguiendo la
fórmula descrita arriba.
Los posibles valores del nivel de riesgo son: Crítico, Alto, Medio, Bajo.
5.2
Matriz de riesgos.
Atendiendo a las consideraciones del apartado anterior, se presenta la matriz
genérica que caracteriza los niveles de riesgo que se analizan posteriormente en este
documento.
6. Amenazas o riesgos en una red 5G SA
Una vez identificados los activos y caracterizada su criticidad, el siguiente paso en el
análisis de riesgos es evaluar las amenazas o posibles ataques a las que están
expuestos cada uno de estos activos de red 5G SA.
Es importante destacar que una misma amenaza puede tener distinto nivel de riesgo
en función del activo o entorno sobre el que se evalúe, de cara a establecer las
prioridades correctas de acciones mitigadoras que permitan incrementar, en una misma
línea temporal, la seguridad de la solución de la manera más eficiente posible.
A continuación, se detallan las amenazas o riesgos en una red 5G SA:
a) Actividades maliciosas debidas a accesos indebidos o maliciosos a la gestión,
extracción de información sensible o modificación no autorizada de parametrización que
provoque la indisponibilidad del elemento.
i. Intrusiones en la red con el objetivo de obtener información, a través de accesos
maliciosos, movimientos laterales, escalado de privilegios, por falta de políticas de
seguridad robustas (ausencia de control de acceso, autenticación, autorización,
segmentación, hardening, etc). Destaca, entre otros la obtención de credenciales de
usuarios operadores, información sensible de clientes (datos, identificadores de usuario,
claves de autenticación, cifrado e integridad), o información útil de configuración de red
(puertos, versiones, etc.), que sirva como vector de información adicional para realizar
ataques de mayor impacto.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Se trata de aquellas acciones llevadas a cabo por atacantes internos o externos que
van dirigidas a los elementos o funciones de red e infraestructura con la intención de
robar información, alterarla o destruir, mediante configuración, un objetivo específico.
En este bloque se engloban, entre otras, las siguientes amenazas:
