La Comisión Federal de Comunicaciones de Estados Unidos (FCC) dijo el lunes que prohibiría la importación de nuevos enrutadores de consumo fabricados en el extranjero, citando riesgos «inaceptables» para la seguridad cibernética y nacional.
La acción fue diseñada para salvaguardar a los estadounidenses y las redes de comunicaciones subyacentes de las que depende el país, dijo el presidente de la FCC, Brendan Carr, en una publicación en X. El desarrollo significa que los nuevos modelos de enrutadores producidos en el extranjero ya no serán elegibles para su comercialización o venta en los EE. UU. La medida se produce a raíz de una determinación de seguridad nacional proporcionada por las agencias del poder ejecutivo, agregó Carr.
Con ese fin, todos los enrutadores de consumo fabricados en países extranjeros se han agregado a la Lista cubierta, a menos que hayan recibido una aprobación condicional por parte del Departamento de Guerra (DoW) o el Departamento de Seguridad Nacional (DHS) después de determinar que no representan ningún riesgo.
Al momento de escribir este artículo, la lista aprobada solo incluye sistemas de drones y radios definidas por software (SDR) de SiFly Aviation, Mobilicom, ScoutDI y Verge Aero. Los productores de enrutadores de consumo pueden enviar una solicitud de aprobación condicional. Según BBC News, los enrutadores Wi-Fi Starlink están exentos de esta política, ya que se fabrican en el estado estadounidense de Texas.
«La determinación del Poder Ejecutivo señaló que los enrutadores producidos en el extranjero (1) introducen ‘una vulnerabilidad en la cadena de suministro que podría perturbar la economía, la infraestructura crítica y la defensa nacional de los EE. UU.’ y (2) plantean ‘un grave riesgo de ciberseguridad que podría aprovecharse para perturbar inmediata y gravemente la infraestructura crítica de los EE. UU. y dañar directamente a las personas estadounidenses'», dijo la FCC.
La agencia dijo que actores de amenazas patrocinados tanto por el estado como por el estado han explotado las deficiencias de seguridad en enrutadores pequeños y de oficinas domésticas para irrumpir en hogares estadounidenses, interrumpir redes, facilitar el ciberespionaje y permitir el robo de propiedad intelectual. Además, estos dispositivos podrían incorporarse a redes masivas con el objetivo de realizar transferencias de contraseñas y accesos no autorizados a la red, además de actuar como representantes para espionaje.
También se ha observado que adversarios del nexo con China, como Volt Typhoon, Flax Typhoon y Salt Typhoon, aprovechan botnets que comprenden enrutadores fabricados en el extranjero para llevar a cabo ciberataques a infraestructuras críticas de comunicaciones, energía, transporte e agua de Estados Unidos.
«En los ataques del Salt Typhoon, los actores de amenazas cibernéticas patrocinados por el estado aprovecharon enrutadores comprometidos y producidos en el extranjero para integrarse y obtener acceso a largo plazo a ciertas redes y pivotar hacia otras dependiendo de su objetivo», según la Determinación de Seguridad Nacional (NSD).
El gobierno de EE. UU. también destacó una botnet denominada CovertNetwork-1658 (también conocida como Quad7), que se ha utilizado para orquestar ataques de pulverización de contraseñas altamente evasivos. Se considera que la actividad es obra de un actor de amenazas chino rastreado como Storm-0940.
Vale la pena señalar que la actualización de la Lista cubierta no afecta el uso continuo por parte del cliente de enrutadores que ya compraron. Tampoco afecta a los minoristas, quienes pueden continuar vendiendo, importando o comercializando modelos de enrutadores que fueron aprobados previamente a través del proceso de autorización de equipos de la FCC.
«Los enrutadores inseguros y producidos en el extranjero son objetivos principales para los atacantes y han sido utilizados en múltiples ataques cibernéticos recientes para permitir a los piratas informáticos obtener acceso a las redes y utilizarlas como plataformas de lanzamiento para comprometer la infraestructura crítica», dijo la NSD. «Las vulnerabilidades introducidas en las redes estadounidenses y en la infraestructura crítica como resultado de los enrutadores fabricados en el extranjero son inaceptables».
Los enrutadores han sido un objetivo lucrativo para los ataques cibernéticos, ya que sirven como conducto principal para el acceso a Internet. Los enrutadores comprometidos podrían permitir a los actores de amenazas realizar vigilancia de la red, filtrar datos e incluso entregar malware a las víctimas. En 2014, el periodista Glenn Greenwald alegó en su libro No hay lugar para esconderse cómo la Agencia de Seguridad Nacional (NSA) de EE. UU. intercepta rutinariamente enrutadores antes de que los fabricantes estadounidenses puedan exportarlos para implantar puertas traseras.