El sector telco español sostiene la conectividad sobre la que descansa el resto de la economía digital. Operadores como Movistar, Vodafone, Orange y MásMóvil controlan la práctica totalidad de la infraestructura de acceso fijo y móvil, mientras que un ecosistema de operadores móviles virtuales como Digi, Finetwork, Pepephone o Lowi compite en el mercado minorista apoyándose en la red mayorista de los anteriores. Junto a ellos conviven operadores de centros de datos, registros de TLD, proveedores de DNS y operadores de cable submarino. NIS2 trata a este conjunto como infraestructura digital esencial y le aplica un régimen de obligaciones reforzado.
Este artículo describe cómo encaja el sector telco en el marco NIS2, qué normas españolas se superponen a la directiva europea, qué amenazas afectan a la red móvil y de transporte, cuáles son los controles técnicos prioritarios y cómo se construye un programa de cumplimiento defendible ante la CNMC.
Lo esencial. Los operadores de redes públicas de comunicaciones electrónicas son entidades esenciales bajo NIS2, igual que los proveedores de DNS, registros de TLD, operadores de centros de datos y servicios cloud relevantes. El marco se completa con la Ley General de Telecomunicaciones, el Reglamento General de Telecomunicaciones, la supervisión de la CNMC, las orientaciones de ENISA y el EU 5G Toolbox para riesgos de proveedores. Las amenazas críticas combinan abuso de señalización SS7 y Diameter, secuestros BGP, aislamiento defectuoso de slices 5G, gobernanza de interceptación legal y escrutinio de cadena de suministro sobre fabricantes como Huawei o ZTE. El plan de cumplimiento debe articular firewalls de señalización, protección DDoS de backbone, RPKI sobre BGP, zero trust en la infraestructura y un proceso continuo de evaluación de proveedores.
El operador telco como entidad esencial NIS2
NIS2 sitúa a las telecomunicaciones dentro del bloque de infraestructura digital. La directiva considera entidad esencial al proveedor de redes públicas de comunicaciones electrónicas y al proveedor de servicios de comunicaciones electrónicas disponibles al público. Esto cubre tanto al operador troncal con red propia como al revendedor minorista que ofrece un servicio identificable al usuario final.
Junto al operador clásico, la infraestructura digital reconocida por NIS2 incluye a los proveedores de servicios DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios cloud, los operadores de centros de datos y los proveedores de servicios de confianza. Una parte significativa de los operadores telco españoles realiza varias de estas actividades a la vez, por lo que el perímetro real de obligaciones suele ser más amplio que el del negocio de conectividad básico.
Los operadores móviles virtuales merecen atención específica. Aunque no operen radio propio, prestan un servicio público de comunicaciones electrónicas identificable y, según tamaño y cuota, entran en el alcance NIS2. La discusión sobre si un OMV pequeño queda bajo entidad esencial o entidad importante se resuelve aplicando los umbrales fijados en la transposición.
Marco regulatorio multinivel español
El operador telco español opera bajo varias capas normativas que se superponen sin sustituirse. NIS2 establece la base europea común para gestión de riesgos de ciberseguridad y notificación de incidentes. La Ley 11/2022 General de Telecomunicaciones desarrolla en el plano nacional las obligaciones generales del sector, incluida la seguridad e integridad de las redes y servicios. El Reglamento General de Telecomunicaciones y normativa derivada concretan requisitos técnicos y procedimientos para el despliegue y operación.
La Comisión Nacional de los Mercados y la Competencia actúa como regulador sectorial y supervisor de obligaciones específicas, incluidas las relacionadas con la seguridad de redes. La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales mantiene competencias de inspección y autorización. Cuando el operador presta servicios al sector público, el Esquema Nacional de Seguridad también se aplica, lo que añade exigencias de categorización y auditoría externa.
En el plano europeo, ENISA publica orientaciones técnicas que se han convertido en referencia obligada para el sector, especialmente sus guías sobre seguridad de redes 5G, gestión de riesgos de proveedores y notificación de incidentes. El EU 5G Toolbox, adoptado por el Grupo de Cooperación NIS, ofrece un catálogo común de medidas estratégicas y técnicas para mitigar los riesgos de la red de quinta generación, incluyendo medidas explícitas sobre proveedores considerados de alto riesgo.
Las obligaciones de interceptación legal recogidas en la Ley General de Telecomunicaciones y en su reglamento configuran una capa adicional. Aunque su finalidad sea distinta a la de NIS2, su gobernanza forma parte del programa global de seguridad porque los sistemas de interceptación son por definición un objetivo de alto valor.
Amenazas específicas del sector telco
El operador telco enfrenta un catálogo de amenazas que combina vectores clásicos del sector con realidades nuevas derivadas del 5G, del cloud y de la geopolítica de la cadena de suministro.
Abuso de señalización SS7 y Diameter. Los protocolos heredados que sostienen la interconexión entre operadores móviles fueron diseñados en una época en la que la confianza entre redes era razonable. La explotación de SS7 permite, con acceso suficiente, interceptar SMS, localizar abonados, redirigir llamadas o facilitar fraudes de portabilidad. Diameter, utilizado en LTE y como capa de control en 5G no autónomo, hereda parte de la misma filosofía y exige firewalls especializados para filtrar mensajes anómalos en el borde de la red de señalización.
Secuestros BGP. El protocolo de enrutamiento entre sistemas autónomos permite anuncios de prefijos sin autenticación criptográfica nativa. Episodios documentados de anuncios incorrectos, accidentales o malintencionados, han desviado tráfico de servicios sensibles a través de redes ajenas durante períodos limitados. La adopción de RPKI y de mecanismos como ROV reduce el riesgo, pero la cobertura global sigue siendo incompleta.
Aislamiento de slices 5G. La arquitectura 5G permite definir redes virtuales sobre la misma infraestructura física, pero el aislamiento entre slices depende de la implementación. Una configuración deficiente puede permitir que un slice menos crítico actúe como vector para alcanzar otro de mayor sensibilidad, especialmente cuando comparten funciones de red o recursos de cómputo en el borde.
Gobernanza de interceptación legal. Los sistemas que permiten cumplir órdenes judiciales de interceptación son objetivo natural de actores avanzados. Cualquier compromiso de esa cadena tiene implicaciones que van mucho más allá del impacto operativo y exige controles estrictos de acceso, registro y auditoría.
Cadena de suministro y riesgo geopolítico. El debate europeo sobre la presencia de fabricantes como Huawei o ZTE en redes 5G refleja una preocupación tangible por componentes de red en infraestructura crítica. El EU 5G Toolbox aborda la cuestión definiendo el concepto de proveedor de alto riesgo y orientando decisiones de sustitución o restricción en partes sensibles de la red.
Casos históricos y aprendizajes
El sector telco acumula incidentes públicos que dimensionan el riesgo sin necesidad de recurrir a especulación.
Brecha de Twilio en 2022. La compañía sufrió una intrusión que comprometió cuentas de empleados mediante ingeniería social. El incidente tuvo efecto cascada sobre clientes que utilizaban la plataforma para enviar SMS y códigos de autenticación, incluidos servicios de mensajería cifrada y entidades financieras. El caso ilustra cómo un proveedor de comunicaciones intermedio puede convertirse en punto único de fallo para terceros muy diversos.
Incidentes recurrentes en T-Mobile. El operador estadounidense ha hecho públicas varias brechas en los últimos años, con exposición de datos de clientes a gran escala. Aunque las particularidades del mercado estadounidense no son trasladables al europeo, la lectura sobre la dificultad de proteger bases de datos comerciales masivas es universal.
Secuestros BGP notables. Episodios públicos en los que prefijos de redes financieras, servicios cloud o proveedores de DNS fueron anunciados desde sistemas autónomos sin legitimidad han demostrado el riesgo real de manipulación del enrutamiento global. La respuesta del sector ha sido acelerar la adopción de RPKI y promover prácticas de validación de ruta entre proveedores de tránsito.
Fraude SS7 contra banca. La interceptación de SMS de autenticación a través de SS7 ha sido utilizada en operaciones de fraude bancario documentadas en Europa. Aunque el sector financiero ha migrado segundos factores hacia mecanismos menos vulnerables, el caso es referencia obligada al justificar la inversión en filtrado de señalización.
Particularidades del 5G
El despliegue 5G introduce desafíos que el operador telco debe abordar de forma específica.
Aislamiento de network slicing. La promesa del 5G de ofrecer redes virtuales especializadas se sostiene en el aislamiento efectivo entre slices. El operador debe definir y probar políticas que impidan filtraciones de tráfico, accesos cruzados a funciones de red y consumo abusivo de recursos. El diseño debe documentarse y revisarse cada vez que se modifica la topología o se incorpora un nuevo slice.
Seguridad de Multi-access Edge Computing. El acercamiento del cómputo al borde permite latencias bajas y casos de uso industriales, pero descentraliza el modelo de seguridad. Los nodos MEC alojan funciones de red, aplicaciones de clientes y, en algunos casos, código de terceros. El operador debe definir un modelo de confianza claro para el borde y aplicar controles equivalentes a los del núcleo.
Escala masiva de IoT. El 5G está pensado para soportar densidades de dispositivos que superan lo que las generaciones anteriores podían manejar. La gestión de identidades y comportamiento anómalo de millones de terminales exige plataformas específicas y la capacidad de aislar automáticamente parques comprometidos.
5G privado para empresa. Cada vez más organizaciones industriales despliegan redes 5G privadas, en colaboración con operadores o como infraestructura propia bajo licencia local. Este modelo introduce al operador en entornos OT con dinámicas distintas a las del consumo residencial.
Controles técnicos prioritarios
El operador telco que quiere consolidar una postura defensiva alineada con NIS2 concentra la inversión en controles cuya eficacia el sector ha validado.
Firewall de señalización SS7 y Diameter. Una plataforma especializada en el borde de la red de señalización filtra mensajes anómalos, aplica políticas de tasa, valida la consistencia de identificadores y detecta patrones asociados a fraude o reconocimiento. La elección depende del tamaño del operador, la topología y la integración con sistemas existentes, y debe acompañarse de procesos que aprovechen realmente la telemetría generada.
Protección DDoS de backbone. Las redes de tránsito reciben tanto ataques dirigidos a clientes alojados como ataques que utilizan la red como vector. La capacidad de mitigación distribuida, con scrubbing en varios puntos y coordinación con proveedores superiores, es requisito básico para cualquier operador de cierta escala.
RPKI sobre BGP. La firma criptográfica de rutas con RPKI y la validación de origen en el borde reducen el riesgo de aceptar anuncios ilegítimos. Cada operador debería firmar sus propios prefijos y aplicar ROV en sus sesiones con peers y clientes, en línea con las recomendaciones de MANRS.
Zero trust en la infraestructura del operador. El modelo perimetral clásico no soporta la complejidad de una red distribuida entre centros de datos propios, nodos de borde y entornos cloud híbridos. La adopción progresiva de zero trust, con verificación continua y segmentación basada en identidad, es un camino que la mayoría de operadores ya ha iniciado.
Gobernanza de proveedores alineada con EU 5G Toolbox. El programa de evaluación de proveedores debe incorporar criterios técnicos, contractuales y de riesgo geopolítico. La decisión sobre qué partes de la red admiten qué proveedores debe quedar documentada, revisable y trazable hacia las orientaciones del Toolbox y de la autoridad nacional.
Hardening sistemático. La consolidación de configuraciones seguras sobre routers, switches, plataformas de virtualización y aplicaciones de red sigue siendo la base sobre la que se construye todo lo demás. Cualquier programa serio incluye revisión periódica, despliegue automatizado y verificación independiente.
ENISA y el EU 5G Toolbox en la práctica
ENISA publica guías técnicas sobre seguridad de redes que han ganado peso normativo en el sector. Sus documentos sobre medidas de seguridad para operadores, notificación de incidentes y, especialmente, seguridad de redes 5G, son referencia para evidenciar diligencia ante una autoridad supervisora.
El EU 5G Toolbox traduce las preocupaciones estratégicas comunitarias en medidas concretas. Define el concepto de proveedor de alto riesgo, propone restricciones aplicables a partes sensibles de la red, anima a la diversificación de proveedores y enfatiza la auditoría continua de la cadena de suministro. España ha avanzado en la incorporación de estos principios mediante decisiones administrativas que el operador debe seguir de cerca.
La intersección entre EU 5G Toolbox y NIS2 es directa: el Toolbox aporta el detalle estratégico que el cumplimiento NIS2 necesita en el ámbito del 5G, especialmente en riesgos de cadena de suministro.
Interceptación legal, RGT y ANUE
La obligación de cooperación con la autoridad judicial mediante interceptación legal del tráfico es una de las características que diferencian al sector telco. El Reglamento General de Telecomunicaciones desarrolla los aspectos técnicos y operativos de estas obligaciones, mientras que la Ley General de Telecomunicaciones establece el marco superior.
La Autoridad Nacional para la Utilización de los Equipos para la Aplicación de la Ley en el ámbito europeo, junto a los procedimientos definidos por el Ministerio del Interior, configuran el ecosistema que el operador debe respetar al implementar sus sistemas de interceptación. La gobernanza de estos sistemas exige separación estricta de roles, registro auditable de cada acceso, controles de doble autorización donde proceda y revisión periódica que confirme que las medidas técnicas siguen el ritmo de los cambios en la red.
Cualquier desviación en este terreno tiene consecuencias que combinan responsabilidad administrativa, riesgo reputacional y exposición a investigación penal cuando se acreditan accesos ilegítimos. Por ello, el bloque de interceptación legal no se gestiona como un proyecto técnico aislado, sino como un capítulo de gobierno corporativo que llega hasta el órgano de administración.
Preguntas frecuentes
¿Un OMV pequeño está obligado por NIS2?
Depende del tamaño y del tipo de servicio. Los umbrales fijados en la transposición clasifican al OMV como entidad esencial o importante según facturación, número de clientes y criticidad. Un OMV con base de clientes reducida puede quedar como entidad importante, mientras que uno con presencia relevante en mercado masivo entra como esencial. El análisis específico de cada operador es el único modo serio de resolver la duda.
¿Es el 5G más inseguro que el 4G?
El 5G ofrece mejoras nativas en autenticación, cifrado e identificación de abonado respecto al 4G, especialmente en la versión autónoma de núcleo. Su superficie de ataque es distinta porque incorpora virtualización, slicing y cómputo en el borde, lo que exige nuevos controles, pero no convierte al 5G en una tecnología más insegura por definición. La calidad de la seguridad depende de cómo se diseñe, despliegue y opere cada red concreta.
¿RPKI sobre BGP es obligatorio en España?
No existe una obligación general explícita de aplicar RPKI sobre todos los operadores, pero la presión regulatoria y de cliente ha aumentado de forma sostenida. Las orientaciones de ENISA, las recomendaciones de MANRS y la práctica común entre grandes operadores europeos convierten RPKI en estándar de facto. Un operador que aún no haya completado su despliegue debería incluirlo en el plan inmediato.
¿Qué fabricante de firewall de señalización elegir?
La decisión depende del tamaño de la red, de la topología, de los protocolos a proteger y de la integración con la cadena de explotación existente. Fabricantes especializados ofrecen plataformas maduras para SS7 y Diameter, mientras que el ecosistema en torno a la señalización 5G está madurando. La elección debe basarse en pruebas reales con tráfico representativo y en la capacidad del proveedor para sostener la solución a medio plazo, no solo en comparativas comerciales.
¿Cómo se gestiona la interceptación legal sin convertirla en riesgo?
Mediante separación estricta de roles, doble autorización para accesos sensibles, registro completo de cada operación, auditoría independiente periódica y revisión continua de la cadena técnica que sostiene el sistema. La gobernanza debe llegar hasta el órgano de administración, no quedarse en el equipo técnico que opera la plataforma.
¿Cuánto cuesta a un operador adaptarse a NIS2?
No hay una cifra única razonable porque el coste depende del punto de partida, del tamaño de la red y de la madurez previa del programa. Un operador medio con programa existente puede absorber el cumplimiento NIS2 con incremento moderado de gasto, concentrado en gobernanza, evidencia auditable y refuerzo de controles específicos. Un operador con madurez baja afrontará un proyecto plurianual con inversión significativa en arquitectura, monitorización y formación.
Recursos relacionados
- NIS2 España: cumplimiento 2026
- Auditoría NIS2 paso a paso
- Ciberseguridad IoT y OT: amenazas críticas 2026
- Qué es el bastionado de redes y sistemas
- Qué es un sniffer y análisis de tráfico de red
Auditoría telco con Secra
Secra acompaña a operadores de telecomunicaciones en el cumplimiento NIS2 con un enfoque que combina auditoría técnica sobre la infraestructura de red, gap analysis NIS2 alineado con la Ley General de Telecomunicaciones y con las orientaciones de ENISA y EU 5G Toolbox, evaluación de riesgos de señalización y enrutamiento, y ejercicios de red team adaptados a entornos telco. Nuestro equipo conecta el conocimiento ofensivo con la experiencia operativa del sector, ayudando a priorizar la inversión donde realmente cierra exposición sin generar fricción innecesaria con la operación de red.
Si su organización opera una red pública de comunicaciones electrónicas, gestiona un nodo de borde, presta servicios mayoristas a OMV o se prepara para una auditoría de la autoridad competente, hablemos y diseñemos juntos un programa NIS2 sólido, defendible y proporcionado a la realidad de la red.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.