Conclusiones clave:
- La Comisión Federal de Comunicaciones ha prohibido la venta de nuevos enrutadores fabricados en el extranjero en Estados Unidos. La orden general se aplica a prácticamente todos los enrutadores Wi-Fi disponibles actualmente en el mercado estadounidense.
- Después de hablar con cuatro expertos en ciberseguridad, mi consejo es que, si es posible, pospongas la compra de un nuevo enrutador.
- Según las reglas actuales, los enrutadores prohibidos ya no recibirán actualizaciones esenciales de firmware y software de seguridad después del 1 de marzo de 2027.
- La acción de la FCC ha congelado efectivamente todo el mercado mientras las empresas de enrutadores luchan por obtener la aprobación.
- Se espera que dentro de uno o dos meses se aclare más información sobre qué empresas de enrutadores estarán sujetas a la prohibición.
En mis ocho años escribiendo y revisando banda ancha y enrutadores, rara vez he visto noticias que describiría como sin precedentes. La reciente decisión de la FCC de prohibir enrutadores fabricados en el extranjero es absolutamente sin precedentes.
La amplia orden se aplica a cualquier enrutador en el que cualquier etapa de “fabricación, ensamblaje, diseño y desarrollo” ocurra fuera de los EE. UU.; en otras palabras, prácticamente cualquier enrutador que pueda comprar ahora mismo. La orden de la FCC dice que los enrutadores fabricados en el extranjero plantean «riesgos inaceptables» para la seguridad nacional. El efecto secundario irónico es: podría impedir que su enrutador actual reciba actualizaciones de seguridad vitales.
La prohibición no se aplica a los enrutadores que ya fueron autorizados por la FCC (es decir, todos los enrutadores que están actualmente a la venta en los EE. UU.) y solo afectará a los modelos nuevos que aún no han sido aprobados. Eso significa que todos los enrutadores que estaban disponibles antes del pedido todavía lo están hoy, y las empresas de enrutadores aún pueden reabastecerlos utilizando sus procesos de fabricación existentes.
Básicamente, la FCC está congelando todo el mercado de enrutadores. Como me dijo William Budington, tecnólogo de la Electronic Frontier Foundation, una organización sin fines de lucro de derechos digitales: “Esto es utilizar un instrumento extremadamente contundente”.
Mientras que las prohibiciones anteriores de la FCC se habían limitado a empresas específicas, como la iniciativa del año pasado para prohibir los enrutadores TP-Link, esta afecta a toda una industria. Entonces, ¿dónde deja eso a alguien que necesita una nueva enrutador wifi? ¿Deberías comprar un modelo al que le has echado el ojo por si se agota? ¿O es mejor esperar y ver qué empresas considera la FCC de fabricación extranjera?
Sé lo que haría, pero revisé mis consejos con cuatro expertos en ciberseguridad. Resulta que estamos de acuerdo.
Mi consejo: posponga la compra de un nuevo enrutador por ahora
Cuando vi por primera vez el anuncio de la FCC, no podía dejar de pensar en cuánto caos introduciría esto en el mercado de enrutadores de EE. UU. Mientras intentaba determinar qué fabricantes se considerarían “fabricados en el extranjero”, rápidamente quedó claro cuán profundamente internacionales son las cadenas de suministro de enrutadores.
Comprender el alcance de la prohibición
Tomemos como ejemplo Netgear. Si bien es una empresa fundada y con sede en Estados Unidos, fabrica enrutadores en Vietnam, Tailandia, Indonesia y Taiwán. Con la excepción de Starlink (la compañía dice que sus enrutadores más nuevos se fabrican completamente en Texas, según la BBC), no pude encontrar una sola marca de enrutadores que sea local.
No tengo ningún problema en recomendar enrutadores fabricados en el extranjero. Después de todo, ya habían pasado por el proceso de autorización de la FCC y no he visto evidencia convincente de que una marca de enrutador tenga más vulnerabilidades de hardware que otra.
Thomas Pace, director ejecutivo de la empresa de ciberseguridad NetRise, me habló el año pasado durante una entrevista sobre el potencial Prohibición de TP-Link: «Hemos analizado una cantidad asombrosa de firmware TP-Link. Encontramos cosas, pero encontramos cosas en todo».
Acabo de terminar de probar, revisar y calificar más de 30 enrutadores y, después de años de resistencia, finalmente concluí que Los enrutadores Wi-Fi 7 valen la pena para las velocidades que obtienes. Si bien sigo mis recomendaciones, con esta prohibición vigente, es posible que el enrutador que compre hoy no sirva para nada dentro de un año.
El riesgo de seguridad del futuro
Luego vi el Aviso público de la FCC sobre la prohibición, que especifica que los fabricantes pueden seguir proporcionando actualizaciones de software y firmware «al menos hasta el 1 de marzo de 2027». Eso significa que si posee un enrutador fabricado en el extranjero (en otras palabras, si posee cualquier enrutador), no podrá obtener parches de seguridad después de esa fecha límite.
Por eso creo que lo más inteligente aquí es esperar a comprar uno, si es posible. Mantener actualizado el firmware de su enrutador es una parte esencial para proteger su red doméstica. Si compra a una empresa de enrutadores que no está exenta de esta prohibición, corre el riesgo de tener un dispositivo no seguro dentro de un año.
Es un efecto secundario irónico de una orden que aparentemente está diseñada para mantener a los estadounidenses más seguros: es posible que ya no puedan obtener las últimas soluciones de seguridad.
«Si limitas la capacidad de las personas para obtener actualizaciones de seguridad, entonces estás empeorando el problema, en lugar de mejorarlo», me dijo Alan Butler, abogado principal del Centro de Información sobre Privacidad Electrónica. «Muchos de esos enrutadores se convertirán en calabazas en un año a menos que extiendan esta exención».
Al decir puedes actualizar tu firmware”al menos hasta el 1 de marzo de 2027″, la FCC deja cierto margen de maniobra para una extensión. Pero hasta que sepamos más sobre qué empresas la FCC considera de fabricación extranjera y cuáles estarán exentas, no me sentiría cómodo recomendando gastar dinero en un nuevo enrutador en este momento.
Consejos para necesidades inmediatas de enrutadores
Si su antiguo enrutador dejó de funcionar, no le voy a decir que espere a que la FCC lo aclare para volver a tener Wi-Fi; el cronograma de preocupación es más de años que de meses. Un buen compromiso podría ser comprar un enrutador económico más antiguo en lugar del último modelo de Wi-Fi 7 que le ha echado el ojo. Pero si puede permitirse el lujo de esperar uno o dos meses, vale la pena tener cierta precaución.
«Creo que esto se convertirá en un desastre muy rápidamente», dijo Butler.
Este es el punto más complicado del proceso que probablemente veremos. A medida que el polvo se asiente en las próximas semanas, es probable que tengamos mejor información sobre qué enrutadores seguirán siendo seguros de usar dentro de un año.
TP-Link es una de las marcas de enrutadores más populares en los EE. UU. y será objeto de varias investigaciones gubernamentales hasta 2025.
Opinión de experto: ¿Sigue siendo seguro utilizar su enrutador actual?
Cuando encuesté a cuatro expertos en ciberseguridad, me sorprendió descubrir que en general estaban a favor de que la FCC tomara medidas para proteger la seguridad de los enrutadores en teoría, pero eran críticos con la ejecución.
«Va a afectar a muchos productos inofensivos para poder detener un problema real», dijo Budington. «Tampoco está particularmente bien dirigido, ya que los enrutadores son sólo una parte del problema, junto con los dispositivos IoT».
La preocupación por el riesgo para la seguridad nacional
La FCC dice que los enrutadores producidos en el extranjero estaban «directamente implicados» en Volt, Flax y Tifón de sal ciberataques. Estos ataques no necesariamente están dirigidos a los datos de una persona promedio, pero pueden convertir su enrutador en una herramienta que se puede utilizar en ataques maliciosos.
«El usuario individual propietario del enrutador probablemente ni siquiera sepa nada al respecto», dijo Butler. «Está sucediendo en segundo plano sin su conocimiento, y no necesariamente les afecta directamente de ninguna manera que puedan notar».
En el ataque del Salt Typhoon, los piratas informáticos obtuvieron acceso a datos de millones de personas a través de sus proveedores de Internet, con el objetivo de obtener acceso a información procedente de escuchas telefónicas autorizadas por los tribunales. Fue un ejemplo particularmente audaz de un enfoque de hacker probado y verdadero llamado “rociar y rezar”: busque las credenciales de inicio de sesión predeterminadas y pruébelas en tantos dispositivos conectados como pueda.
«Puede ser sólo un enrutador entre 5.000, pero ese puede ser un bingo», me dijo Sergey Shykevich, gerente de inteligencia de amenazas de Check Point Research, sobre este tipo de ataques. «En general, es fácil. En muchos casos, no es necesario ser un actor muy sofisticado, ni siquiera un Estado-nación, para tener éxito».
Cómo puedes proteger tu enrutador ahora mismo
Es tan fácil para los piratas informáticos obtener acceso a través de las credenciales predeterminadas de un enrutador como para usted cambiar su propia configuración. La mayoría de los enrutadores tienen una aplicación que te permite actualice sus credenciales de inicio de sesión desde allí, pero también puedes escribir la dirección IP de tu enrutador en una URL. Estos son diferentes de su nombre y contraseña de Wi-Fi, que también deben cambiarse aproximadamente cada seis meses. También es una buena idea mantener actualizado el firmware, lo que puede hacer automáticamente en la configuración de su enrutador o descargando manualmente las actualizaciones en la aplicación o el portal web de su enrutador.
¿Cuándo sabremos más?
Me gustaría poder señalar otro momento en el que la FCC ordenó una prohibición total de toda una categoría de productos de consumo, pero nunca antes había sucedido nada parecido. Los fabricantes pueden solicitar una “aprobación condicional” y probablemente estén luchando entre bastidores para lograr el pase. Cuando me comuniqué con la FCC para obtener más claridad sobre la orden, me remitieron a la página de preguntas frecuentes de la «Lista cubierta» de la comisión.
Mi mejor suposición es que aprenderemos más detalles sobre qué empresas están prohibidas en el próximo mes, una estimación que fue compartida por dos observadores de la industria con los que hablé. Pero la espera podría ser aún más larga. Budington me dijo que cree que las empresas de enrutadores podrían esperar hasta que se levante la prohibición en lugar de apresurarse para intentar trasladar todas sus cadenas de suministro a Estados Unidos.
No importa cómo se desarrolle, probablemente recordaremos este como el capítulo más caótico de la historia de la prohibición de los enrutadores. A menos que necesite un nuevo enrutador de inmediato, es muy probable que pueda tomar una decisión más informada dentro de un mes.