La Comisión Federal de Comunicaciones de Estados Unidos (FCC) ha actualizado su Covered List, la lista oficial de equipos considerados riesgosos para la seguridad nacional, incorporando ahora a los routers domésticos fabricados en el extranjero. Esta decisión redefine el panorama del mercado de networking en EE. UU. y coloca en primer plano cuestiones críticas de ciberseguridad, resiliencia de la cadena de suministro y geopolítica tecnológica.
Nueva normativa de la FCC: restricciones a routers y “Conditional Approval”
La actualización de la Covered List ya no se limita a marcas concretas, sino que se extiende a toda una categoría de productos. Quedan bajo sospecha prácticamente todos los routers de consumo cuyo diseño, ensamblaje o fabricación se realice, siquiera parcialmente, fuera de Estados Unidos. Esto incluye equipos de marcas estadounidenses que dependen de fábricas y componentes ubicados en Asia u otras regiones.
Los modelos que ya cuentan con certificación para el mercado estadounidense no serán retirados de inmediato. La FCC establece un periodo transitorio hasta el 1 de marzo de 2027. Hasta esa fecha, los fabricantes podrán seguir distribuyendo firmware, corregir vulnerabilidades y ofrecer soporte oficial para los dispositivos existentes.
Tras el fin de ese plazo, cualquier nuevo router producido en el extranjero solo podrá comercializarse si obtiene un “Conditional Approval” (aprobación condicionada) emitido por el Departamento de Defensa o el Departamento de Seguridad Nacional (DHS). Para conseguirlo, las empresas deberán justificar por qué, en el corto plazo, no es viable trasladar la producción a Estados Unidos y presentar un plan creíble de localización progresiva del ensamblaje y fabricación dentro del país.
Por qué los routers domésticos se consideran un riesgo para la seguridad nacional
En cualquier red, el router es un punto de control crítico: todo el tráfico pasa por él. En entornos corporativos y gubernamentales, esto incluye comunicaciones sensibles y servicios de infraestructura crítica. La comprometación del firmware de un router permite a un atacante interceptar datos, introducir backdoors persistentes (puertas traseras ocultas), recopilar información de forma silenciosa y reclutar el dispositivo en botnets para lanzar ataques de denegación de servicio (DDoS) o realizar campañas de espionaje de bajo perfil.
La FCC cita operaciones documentadas como Volt Typhoon, Flax Typhoon y Salt Typhoon, atribuidas por agencias estadounidenses a grupos de amenazas vinculados a China. Informes públicos de CISA y el FBI han descrito cómo estas campañas buscaban acceso duradero y sigiloso a redes de infraestructura crítica —energía, telecomunicaciones, transporte— utilizando routers y otros dispositivos de red como nodos “invisibles” dentro del entorno de la víctima.
El regulador subraya además un problema estructural: la dificultad de confiar en cadenas de suministro globales extremadamente complejas. Desde el diseño de chips hasta el ensamblaje final, cualquier fase podría aprovecharse para introducir componentes vulnerables o funcionalidades ocultas, especialmente cuando gran parte de la producción se concentra en jurisdicciones con marcos legales y prioridades estratégicas diferentes a las de EE. UU.
Excepciones, efectos en el mercado y posible “congelación” tecnológica
De acuerdo con la información disponible, casi todo el mercado de routers domésticos se ve afectado por las nuevas restricciones. Una de las pocas excepciones destacadas es el router Wi‑Fi de Starlink, cuya fabricación, según la propia empresa, se realiza en Texas. Este caso ilustra el objetivo principal de la FCC: incentivar la producción nacional y reducir la dependencia de fábricas extranjeras.
Analistas y usuarios en foros especializados señalan un efecto colateral relevante: el riesgo de que el catálogo de routers en EE. UU. quede prácticamente “congelado” en las plataformas de hardware de finales de 2026. Desplegar nuevas plantas de producción en territorio estadounidense requerirá años y fuertes inversiones, lo que puede ralentizar la aparición de nuevos modelos, limitar la innovación y mantener los precios en niveles elevados.
Este escenario también puede intensificar la concentración del mercado: los grandes fabricantes con capacidad financiera para reubicar la producción ganarán ventaja competitiva, mientras que proveedores pequeños y medianos podrían quedar excluidos de uno de los mayores mercados mundiales de electrónica de consumo.
Respuesta de los fabricantes y contexto de las operaciones de inteligencia
Los principales proveedores de equipamiento de red han reaccionado con cautela. TP-Link ha manifestado que apoya un marco de reglas uniforme y que ya trabaja en planes para abrir líneas de producción en EE. UU. Netgear, por su parte, ha enfatizado sus inversiones previas en seguridad y transparencia de la cadena de suministro, y ha expresado su disposición a adaptarse al nuevo entorno regulatorio.
Observadores han recordado el contexto histórico: documentos desclasificados en 2014 revelaron que agencias de inteligencia estadounidenses interceptaban envíos de routers —incluidos equipos de Cisco— para modificar su firmware y insertar sus propias capacidades de vigilancia. Ahora, las autoridades estadounidenses justifican las restricciones a hardware extranjero precisamente por el riesgo de backdoors implantadas en fábrica o en tránsito.
El comisionado de la FCC Brendan Carr ha vinculado esta decisión con la Estrategia de Seguridad Nacional de Estados Unidos, que subraya que el país no debe depender de actores externos en tecnologías clave para su defensa y su economía. Los routers, situados literalmente en la “puerta de entrada” de cualquier red, se consideran una de esas tecnologías estratégicas.
En este contexto, las organizaciones y usuarios finales reciben un recordatorio claro: la seguridad del hardware es tan crítica como la del software. Para reducir riesgos, es recomendable inventariar los routers desplegados, mantener el firmware siempre actualizado, elegir proveedores con cadenas de suministro auditables y prepararse para estándares de confianza más estrictos en todo el ecosistema de dispositivos de red. Para empresas y profesionales de TI, es un buen momento para reforzar políticas de adquisición seguras, incluir la supply chain security en las auditorías periódicas y seguir de cerca la evolución regulatoria en EE. UU., dado su impacto global en el diseño y la distribución de equipamiento de networking.
