Esta semana, la Comisión Federal de Comunicaciones (FCC) prohibió efectivamente la venta de casi todos los enrutadores inalámbricos en los EE. UU., en otro ejemplo más de cómo el gobierno toma por ellos las decisiones de consumo de los estadounidenses.
El noventa y seis por ciento de los adultos estadounidenses usan Internet y el 80 por ciento de ellos usa enrutadores inalámbricos: dispositivos que transmiten una señal a través de su hogar a través de ondas de radio y le permiten conectarse sin enchufarse a la pared.
En un anuncio del lunes, la FCC consideró que “todos los enrutadores de consumo producidos en países extranjeros” eran potencialmente inseguros. Esto siguió a una determinación de seguridad nacional la semana pasada, en la que miembros de agencias del poder ejecutivo concluyeron que “los enrutadores producidos en un país extranjero, independientemente de la nacionalidad del productor, representan un riesgo inaceptable para la seguridad nacional de los Estados Unidos y para la seguridad de las personas estadounidenses”.
La Ley de Redes de Comunicaciones Seguras y Confiables de 2019 facultó al gobierno “para evitar que equipos o servicios de comunicaciones que representen un riesgo para la seguridad nacional ingresen a las redes estadounidenses”. La ley ordenó a la FCC “publicar y mantener una lista de dichos equipos o servicios” y, según esa agencia, la inclusión en la lista “impedirá la comercialización, venta u operación de dichos equipos nuevos ‘cubiertos’ dentro de los Estados Unidos”.
Dado que los enrutadores inalámbricos transmiten a través de frecuencias de radio, deben estar autorizados por la FCC para su venta en los EE. UU.; Agregar todos los enrutadores nuevos fabricados en el extranjero a la “Lista cubierta” significa que la FCC no autorizará los transmisores de esos dispositivos, prohibiendo efectivamente su venta o uso.
El anuncio especifica que esto sólo se aplica a nuevos dispositivos de consumo y “no prohíbe la importación, venta o uso de ningún modelo de dispositivo existente que la FCC haya autorizado previamente”. También señala que a los fabricantes que solicitan exenciones para nuevos modelos se les puede “conceder una ‘aprobación condicional’ después de descubrir que dicho dispositivo o dispositivos no plantean riesgos tan inaceptables”.
Quizás no sea sorprendente que la prohibición probablemente haga más difícil para los estadounidenses obtener enrutadores inalámbricos.
El problema es que prohibir todos los enrutadores fabricados en el extranjero significa prohibir prácticamente todos los enrutadores. La mayoría de los fabricantes, incluidos los tres más grandes, fabrican sus productos en el extranjero.
“Los únicos enrutadores que conozco que se fabrican en los EE. UU. son algunos enrutadores Wi-Fi Starlink, que se fabrican principalmente en Texas”, escribe Simon Hill en Wired. “Starlink es parte de la compañía SpaceX de Elon Musk, pero muchos de los componentes de estos enrutadores provienen del este de Asia”. (La FCC señala que “un enrutador producido en los Estados Unidos no se considera equipo ‘cubierto’ únicamente porque contiene uno o más componentes fabricados en el extranjero”, a menos que esa pieza fabricada en el extranjero sea un transmisor).
Además, los enrutadores fabricados en el extranjero no son automáticamente inseguros y, de la misma manera, el hecho de que un enrutador se fabrique en el país no significa que sea seguro.
Es cierto, como señala la determinación de seguridad nacional, que los “enrutadores comprometidos” pueden usarse (y se han usado) para llevar a cabo ataques cibernéticos. “Recientemente, ciberatacantes maliciosos patrocinados por estados y no estados han aprovechado cada vez más las vulnerabilidades en enrutadores pequeños y de oficinas domésticas producidos en el extranjero para llevar a cabo ataques directos contra civiles estadounidenses en sus hogares”, encontró el informe. “Además, los enrutadores producidos en el extranjero estuvieron directamente implicados en los ciberataques Volt, Flax y Salt Typhoon que tuvieron como objetivo infraestructuras críticas de comunicaciones, energía, transporte e agua de Estados Unidos”.
Pero esto no es un reflejo de dónde se fabricaron estos productos. “Casi sin excepción, el hardware y el software que se envía con la mayoría de los enrutadores de consumo incluyen una serie de configuraciones predeterminadas que deben cambiarse antes de que los dispositivos puedan conectarse de forma segura a Internet”, escribió en noviembre el periodista de ciberseguridad Brian Krebs. Sólo en los últimos años, añade, los fabricantes comenzaron a “obligar a los usuarios a realizar una higiene básica, como cambiar la contraseña predeterminada y actualizar el firmware interno, antes de que los dispositivos puedan usarse como enrutador”.
Incluso si todas las empresas afectadas trasladaran su producción a tierra firme, no hay indicios de que algo vaya a cambiar. “No está claro cómo el simple hecho de trasladar la producción de enrutadores a nivel nacional los haría más seguros”, escribe Sean Hollister en The Verge. “En el ataque al Volt Typhoon, los piratas informáticos patrocinados por el estado chino atacaron principalmente enrutadores Cisco y Netgear, enrutadores diseñados por compañías estadounidenses, según el Departamento de Justicia. Eran vulnerables porque esas compañías estadounidenses habían dejado de proporcionar actualizaciones de seguridad a los enrutadores específicos, que habían sido descontinuados por esas compañías”.
Por supuesto, esto no es una prohibición total: el gobierno puede otorgar exenciones a ciertos productos si la FCC los considera seguros. Pero esto también podría ser una oportunidad para la corrupción. El año pasado, el presidente Donald Trump impuso aranceles a casi todos los demás países del mundo, citando fantasiosamente los déficits comerciales como una amenaza a la seguridad nacional. Pero los cabilderos se pusieron a trabajar y, en cuestión de semanas, la administración concedió exenciones a empresas de las industrias automotriz, energética, farmacéutica y de fabricación de semiconductores.