Un nuevo estudio dice que los enrutadores domésticos han escapado al escrutinio aplicado a las redes 5G a pesar de transportar el 93 por ciento del tráfico de Internet europeo y estar en el centro del debate sobre la soberanía digital.
Los enrutadores domésticos representan uno de los mayores riesgos de seguridad que se pasan por alto en Europa, advirtieron los investigadores.
Un nuevo estudio sugiere que los dispositivos, que conectan hogares y empresas a Internet, se han convertido en un importante punto ciego en el debate sobre la soberanía digital en Europa.
A diferencia de las redes 5G, administradas por operadores de telecomunicaciones autorizados y sujetas a escrutinio de seguridad nacional en Europa, los enrutadores domésticos han pasado desapercibidos en gran medida a pesar de estar en la puerta de entrada de millones de hogares y empresas.
Un enrutador comprometido puede brindar a los atacantes una ruta hacia todo lo que está conectado a él, desde correos electrónicos del trabajo y contraseñas bancarias hasta imágenes de CCTV, fotos familiares y transmisiones en vivo de monitores de bebés.
Los expertos advierten que más de la mitad de los enrutadores y repetidores de Europa son suministrados por empresas con sede fuera de la UE.
Se dice que los fabricantes chinos, incluidos ZTE, Huawei, TP-Link, Xiaomi y Tenda, representan alrededor del 37 por ciento del mercado total de redes domésticas de la UE, y el resto se divide entre empresas europeas y otros proveedores no pertenecientes a la UE.
Según la Alianza Soberana para la Tecnología de Red Europea, conocida como SAFENet, la Fundación Innovate Europe y la consultora berlinesa Ikonomy, proporciona a las empresas acceso teórico a unos 95 millones de hogares europeos.
Su informe, ‘La columna vertebral oculta de la soberanía digital: por qué Europa debe preocuparse por los enrutadores de Internet’, describe los enrutadores como “literalmente el primer y último salto de hardware de la actividad digital europea” y dice que operan en gran medida fuera de la soberanía y el marco de seguridad de la cadena de suministro de la UE a pesar de estar en el corazón de la infraestructura digital del continente.
“Si bien Europa legisló sobre la soberanía de la nube y las cadenas de suministro de semiconductores, el primer y último salto literal de hardware de la actividad digital europea se convirtió en un punto ciego crítico de la cadena de suministro”, dice.
“Instalados en cientos de millones de hogares y empresas europeos y suministrados directamente por los ISP, sin que el consumidor pueda elegir entre el fabricante, estos dispositivos se encuentran sin escrutinio en el corazón de la infraestructura digital de Europa.
“Confiados por defecto e invisibles en la práctica, son un caballo de Troya potencial que ningún marco coordinado de seguridad de la cadena de suministro aborda actualmente”.
La mayoría de los enrutadores tienen una contraseña para evitar que los transeúntes, vecinos o cualquier otra persona dentro del alcance accedan a la red wifi localmente o la utilicen.
Pero una contraseña segura no protege al enrutador de fallas de seguridad, firmware débil, actualizaciones comprometidas o sistemas de administración remota que pueden ser pirateados de forma remota.
Si un enrutador se ve comprometido, el tráfico que lo atraviesa puede potencialmente ser inspeccionado, copiado o redirigido, mientras que el dispositivo en sí también puede ser secuestrado y utilizado en ciberataques más grandes.
El estudio, publicado ayer, sostiene que Europa ya cuenta con herramientas para tratar con proveedores de alto riesgo en otros sectores tecnológicos, pero no ha aplicado el mismo pensamiento a los enrutadores.
Dice: “Los enrutadores comprometidos son el componente principal de las botnets, grandes redes de dispositivos secuestrados que se utilizan para lanzar ataques distribuidos de denegación de servicio, distribuir malware y realizar robos de credenciales a gran escala”.
El informe también advierte que una debilidad en el equipo de un fabricante puede convertirse rápidamente en un problema masivo en toda Europa.
SAFENet dijo que la seguridad de los enrutadores había sido excluida del debate europeo por cuestiones tecnológicas más grandes y visibles.
Decía: “La seguridad y la soberanía de los enrutadores han sido –y continúan siendo– desplazadas del debate y la regulación europeos por desafíos más grandes y visibles. Es hora de cerrar esta brecha”.
La alianza ahora exige cuatro medidas que incluyen un etiquetado más claro del país de origen y la jurisdicción legal para los dispositivos de red, cambios en la contratación pública, una gobernanza más sólida de la cadena de suministro y apoyo a la capacidad industrial europea.
LEER MÁS: ¿Europa está regulando el futuro o se está olvidando de construirlo? El defecto oculto de la soberanía digital. A medida que Europa se basa en el RGPD y la Ley de IA, la próxima frontera va más allá de los libros de reglas y las sanciones, escribe Vendan Kumararajah, quien sostiene que la soberanía digital perdurará sólo si la gobernanza, la legitimidad y la detección de distorsiones se integran directamente en la arquitectura de los propios sistemas de IA, en lugar de imponerse desde afuera únicamente mediante el cumplimiento.
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.
Imagen principal: Foto de Pascal vía Pexels