CONCEPTO 509348 DE 2023
(mayo 3)
<Fuente: Archivo interno entidad emisora>
COMISIÓN DE REGULACIÓN DE COMUNICACIONES
Rad. 2023804009
Bogotá, D.C.
REF: | Su solicitud de concepto radicada en esta entidad bajo el número 2023804009. |
La Comisión de Regulación de Comunicaciones - CRC acusa recibo de su comunicación con radicado 2023804009 según la cual solicita que se rinda concepto en materias relacionadas con la implementación de interconexiones que hagan uso del protocolo de señalización SIP; así mismo, requiere concepto frente al uso de tecnologías VPN en relaciones de interconexión.
Previo a dar respuesta a su solicitud, resulta pertinente mencionar que esta Comisión al rendir conceptos, lo hace de conformidad con lo dispuesto en el Artículo 28 de la Ley 1755 del 2015 “Por medio de la cual se regula el Derecho Fundamental de petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”. De este modo, el alcance del pronunciamiento solicitado tendrá los efectos que la normatividad le otorga a los conceptos rendidos por las autoridades administrativas, sobre lo que cabe recordar que en la medida en que los conceptos no pueden analizar situaciones de orden particular y concreto, los mismos deben hacer referencia de manera general y abstracta respecto de las materias sobre las que versa su consulta.
Ahora bien, en materias relacionadas directamente con el concepto solicitado, procede esta Comisión a pronunciarse sobre los aspectos puntuales requeridos:
1. “¿Si un operador no ha actualizado su OBI, pero es conocido que hace uso del protocolo SIP al interior de su red, es viable solicitar una interconexión basada en protocolos de señalización para voz IP?”
Respuesta CRC:
Sea lo primero mencionar que la regulación general define las condiciones que deben aplicarse para el suministro de la señalización en las relaciones de interconexión. Particularmente, el artículo 4.1.3.5 de la Resolución CRC 5050 de 2016 establece al respecto lo siguiente:
“ARTÍCULO 4.1.3.5. SEÑALIZACIÓN. Los proveedores de redes y servicios de telecomunicaciones podrán negociar libremente el protocolo de señalización que se utilice en la interconexión, siempre y cuando el mismo este basado en un estándar internacional así como en las especificaciones nacionales cuando estas existan que garanticen el interfuncionamiento de las redes y la interoperabilidad de plataformas, servicios o aplicaciones.
El diseño de la red de señalización en la interconexión, en particular su dimensionamiento y topología, deberá realizarse con base en criterios de confiabilidad y seguridad. Siempre que sea posible deberá establecerse redundancia en los enlaces que manejen señalización.
Cada proveedor de redes y servicios de telecomunicaciones debe poner a disposición de otros proveedores de redes y servicios cuando menos las opciones de señalización que utilice o haya ofrecido o puesto a disposición de otros proveedores de redes y servicios ya interconectados, así como las opciones de señalización que utilice al interior de su propia red.” (RFT)
Es de resaltar que, según el texto regulatorio en cita, los PRST deben poner a disposición, cuando menos, las mismas opciones de señalización que utilice o haya ofrecido o puesto a disposición de otros PRST con los que tenga relaciones de interconexión. Tal mandato se encuentra ligado con el principio de trato no discriminatorio previsto en el artículo 50 de la Ley 1341 de 2009, como uno de los principios vertebrales del régimen de acceso, uso e interconexión. El principio en cita fue definido en el numeral 4.1.1.3.2 del artículo 4.1.1.3 de la Resolución CRC 5050 de 2016 en los siguientes términos:
“4.1.1.3.2. Trato no discriminatorio con Acceso Igual - Cargo Igual. Los proveedores de redes y servicios de telecomunicaciones deberán dar igual trato a todos los proveedores y no podrán otorgar condiciones menos favorables que las que se otorgan a sí mismos o a algún otro proveedor. Las condiciones de acceso e interconexión no deben ser menos favorables que las que utilice para sí mismo dicho proveedor o a las ofrecidas a otros proveedores que se encuentren en las mismas circunstancias técnicas de acceso e interconexión y a las que otorgan a empresas matrices, subordinadas, subordinadas de las matrices o empresas en las que sea socio el proveedor correspondiente o a las que utilice para sí mismo dicho proveedor.
Los proveedores de redes y servicios de telecomunicaciones deberán otorgar iguales ó similares condiciones de remuneración de su red, cuando de por medio se presentan condiciones de acceso e interconexión similares”
De acuerdo con lo anterior, es claro que los PRST deben ofrecer las mismas condiciones de acceso, uso e interconexión, incluyendo protocolos de señalización, que sean utilizadas con otros PRST y para sí mismos, siempre que se encuentren en las mismas circunstancias técnicas de acceso, interconexión y señalización del PRST solicitante.
Debe resaltarse igualmente, que la aplicación de la regulación citada debe proceder con independencia del contenido de la OBI que haya sido aprobada por esta Comisión, pues tal como lo señala HABLAME COLOMBIA en su comunicación, es posible que la misma no se encuentre actualizada conforme a la realidad de la red del PRST ofertante.
2. “¿Es viable que una interconexión se realice utilizando una conexión vía VPN?.”
3. “¿La CRC entiende cumplida la condición de seguridad que se debe garantizar en las interconexiones, con la implementación de las conexiones directas vía VPN? “
Respuesta CRC:
En cuanto a las tecnologías utilizadas para la materialización de una interconexión, la regulación establece una serie de condiciones en materia de calidad y seguridad que deben ser cumplidas por los agentes involucrados en una relación de interconexión. Así pues, las condiciones de calidad del servicio se encuentran contenidas en el artículo 4.1.3.10 de la Resolución CRC 5050 de 2016; y en el mismo sentido, las condiciones de seguridad se encuentran contenidas en el artículo 4.1.3.11 citado por HABLAME COLOMBIA en su comunicación. Particularmente, este último es del siguiente tenor:
“ARTÍCULO 4.1.3.11. SEGURIDAD: Los proveedores de redes y servicios de telecomunicaciones deben utilizar los recursos técnicos que establezca la regulación y los demás que estén a su alcance para que las redes interconectadas cuenten con condiciones de seguridad razonables.
Para el efecto, deberán establecerse medidas en la interconexión en relación con control de acceso, autenticación, confidencialidad e integridad de datos, seguridad de comunicación, disponibilidad y privacidad, de conformidad con las recomendaciones UIT-T X.805 y UIT-T Y.2701.
De igual manera, para la interconexión basada en protocolos de señalización para voz IP la conexión será directa a través de canales de datos dedicados punto a punto y las direcciones IP de los elementos de red interconectados no se anunciarán en Internet, y solo podrán utilizarse para transportar tráfico de voz.”
Así pues, se evidencia que la CRC a través de regulación general establece una serie de condiciones da calidad y seguridad que deben ser atendidas con independencia de la tecnología o del tipo de conexión que se encuentre involucrada en la relación de interconexión; y que por tanto, no excluyen taxativamente a las conexiones establecidas a través de VPN.
En todo caso, no debe perderse de vista que, en términos de seguridad, la tecnología que se implemente en la interconexión deberá dar cumplimiento a las recomendaciones UIT-T X.805 y 2701, y que, para el caso de redes basadas en señalización para voz IP, dicha conexión deberá ser directa a través de canales dedicados punto a punto y deberá asegurar que las direcciones IP de los elementos de red involucrados en la interconexión no sean anunciadas en Internet.
Al respecto, debe tenerse en cuenta que, si la sola implementación de una VPN no garantiza el cumplimiento de las disposiciones normativas citadas, dicha solución no podrá ser implementada, o de forma subsidiaria, podrá ser complementada con la adopción de otras tecnologías que fortalezcan las condiciones de seguridad de la interconexión.
En este último punto, es menester recordar que la CRC con anterioridad ya ha reconocido los riesgos que pueden existir si una interconexión se implementa sobre redes públicas; al respecto, el documento de respuestas a comentarios que acompañó la Resolución CRC 6522 de 2022[1] señaló lo siguiente:
“Frente a la solicitud de TIGO-UNE-EDATEL para que se incluya de manera explícita en la regulación que cuando la interconexión se establezca a través de redes IP tanto para el plano de voz como para el de señalización, los enlaces correspondientes deberán configurarse sobre redes privadas y no sobre la red pública, la CRC acoge la propuesta en razón a que, a diferencia de las redes tradicionales basadas en conmutación de circuitos, pueden existir mayores riesgos de seguridad en redes de conmutación de paquetes, particularmente en lo que atañe al segmento de la interconexión entre redes si este se provee sobre redes públicas, a pesar de las opciones de implementación a través de redes virtuales privadas que hacen uso de técnicas tales como el "tunneling", entre otras.”(SFT)
Teniendo en cuenta lo anterior, es claro que para el caso de enlaces IP, la CRC ha identificado que a pesar de la implementación de VPN y de las técnicas de seguridad que estas puedan utilizar, se hace necesario establecer enlaces configurados sobre redes privadas que garanticen condiciones adicionales de seguridad.
En ese orden de ideas, con el ánimo de dar cumplimiento a las condiciones regulatorias, corresponderá a las partes definir si en adición a la implementación de una VPN, procede la implementación de por ejemplo firewalls o routers, así como la adopción de mecanismos de encriptación de datos bajo IPSec o protocolos equivalentes, de mecanismos de autenticación BGP, o la implementación de túneles para ocultar las redes de los usuarios finales, entre otros.
Así pues, es claro que con el ánimo de determinar si la sola implementación de conexiones directas vía VPN resulta suficiente para el cumplimiento de las disposiciones regulatorias mencionadas, lo mismo deberá evaluarse a la luz de los casos de uso particulares que puedan ser implementados; lo anterior, teniendo en cuenta que dicho análisis deberá adelantarse en cada caso particular, en atención a los parámetros de configuración de la VPN a implementar, así como de los elementos de red y demás mecanismos que entre las partes acuerden con el fin de garantizar las condiciones de calidad del servicio, de control de acceso, autenticación, confidencialidad e integridad de datos, seguridad de comunicación, disponibilidad y privacidad de las cuales tratan las recomendaciones UIT-T X.805 y UIT-T2701.
En los anteriores términos damos respuesta a su comunicación y quedamos atentos a cualquier aclaración adicional que requiera.
Cordial Saludo,
MARIANA SARMIENTO ARGÜELLO
Coordinadora de Relacionamiento con Agentes
1. “Por la cual se modifican algunas disposiciones referidas al acceso, uso e interconexión de redes de telecomunicaciones contenidas en el Título IV de la Resolución CRC 5050 de 2016, y se dictan otras disposiciones”