La Comisión Federal de Comunicaciones de Estados Unidos (FCC) ha dado un paso que cambia el mapa del mercado de hardware de red: actualizó su “Covered List” para incluir todos los routers de consumo fabricados en el extranjero, lo que en la práctica prohíbe la venta de nuevos modelos importados en territorio estadounidense salvo que obtengan una aprobación excepcional. Se trata de una medida que busca reducir riesgos a la seguridad nacional, pero que también plantea incógnitas para consumidores, fabricantes y proveedores de servicios.
Para entender el alcance hay que recordar el marco legal: la “Covered List” forma parte del Secure and Trusted Communications Networks Act de 2019, la ley que ordenó identificar y restringir equipos y servicios de comunicaciones que representen un riesgo inaceptable para las redes e infraestructuras del país. La FCC mantiene esa lista y, hasta ahora, incluía productos y firmas concretas que habían sido vinculadas a problemas de seguridad, como Huawei, ZTE, Kaspersky, Hikvision o Dahua. Puede consultarse la explicación oficial y el contenido histórico de la lista en la página de la FCC sobre la Covered List https://www.fcc.gov/general/covered-list y en la normativa de la ley Secure and Trusted Communications Networks Act (texto legal).
La decisión de meter de lleno a todos los routers extranjeros en la lista no fue arbitraria: se apoyó en una Evaluación de Seguridad Nacional emitida por un grupo interinstitucional del Ejecutivo. Ese documento concluye que los routers producidos fuera de Estados Unidos suponen un vector de riesgo en la cadena de suministro capaz de interrumpir la economía, infraestructura crítica y capacidades de defensa. El propio informe de la FCC que acompaña la actualización detalla incidentes en los que routers de origen extranjero facilitaron campañas de intrusión que afectaron a sistemas esenciales, aportando ejemplos que las agencias consideran probatorios de la amenaza; el informe está disponible en la publicación de la FCC sobre la Determinación de Seguridad Nacional https://www.fcc.gov/sites/default/files/NSD-Routers0326.pdf y en el documento que explica las razones para la inclusión https://docs.fcc.gov/public/attachments/DOC-420034A1.pdf.
Es importante matizar cómo se implementa la prohibición. No se trata de que los routers que ya existen en tiendas o redes sean inmediatamente retirados: los dispositivos presentes en el mercado seguirán siendo legales. La medida afecta la venta de modelos nuevos fabricados en el extranjero. Además, la FCC abrió una vía alternativa para que fabricantes extranjeros puedan solicitar una aprobación condicionada, siempre que acepten transparencia extrema sobre su estructura corporativa, cadenas de suministro, propiedad intelectual y planes para trasladar a EE. UU. la producción de componentes críticos. La guía para solicitar esas aprobaciones condicionadas está publicada por la propia agencia y explica los requisitos de documentación y las expectativas sobre onshoring de manufactura https://www.fcc.gov/sites/default/files/Guidance-for-Conditional-Approvals-Submissions0326.pdf.
También existen excepciones muy concretas: la FCC otorgó aprobaciones condicionadas a ciertas unidades de routers empleadas por el Departamento de la Guerra y el Departamento de Seguridad Nacional en sistemas de vehículos aéreos no tripulados, determinando que esos usos específicos no presentan el mismo riesgo que el mercado de consumo general. Para las actualizaciones de software y firmware en componentes críticos de sistemas UAS (drones), la agencia autorizó la posibilidad de actualizaciones hasta, al menos, el 1 de enero de 2027, dando un margen operativo a operadores y fabricantes mientras se ajusta la regulación.
Si hablamos de impacto real para el público, los usuarios domésticos no verán cambios inmediatos al conectar su router actual. Sin embargo, la puerta que permite que nuevos modelos lleguen a las tiendas se estrecha: el proceso de certificación, la obligación de revelar datos de la cadena de suministro y la exigencia de onshoring pueden encarecer y retrasar la entrada de equipos. Los costes y la complejidad administrativa podrían llevar a algunos fabricantes a decidir que no vale la pena competir en el mercado estadounidense, lo que reduciría la variedad de modelos disponibles y, potencialmente, presionaría al alza los precios.
Desde el punto de vista técnico, la lógica del regulador tiene base: el router es el primer punto de contacto entre la red doméstica y el resto de Internet. Si su firmware o sus componentes tienen puertas traseras, vulnerabilidades intencionales o compromisos en la cadena de suministro, un atacante puede obtener acceso persistente a redes domésticas, empresas pequeñas o incluso intermediar ataques hacia infraestructuras más críticas. Por eso las exigencias de la FCC no solo piden transparencia empresarial sino detalles técnicos: listas de materiales, origen de cada componente, quién posee el software y dónde se ensambla el equipo.
La medida también refleja una tendencia mayor en política tecnológica: las autoridades buscan reducir dependencia tecnológica de proveedores extranjeros en elementos sensibles de la infraestructura, una preocupación que se ha intensificado desde 2019 y que ha llevado a otras acciones regulatorias y sanciones. Para quien quiera profundizar en la descripción técnica y política de la medida, la FCC publicó los fundamentos y anexos con ejemplos y evidencia reunida por agencias de inteligencia y seguridad http://docs.fcc.gov/public/attachments/DA-26-278A1.pdf.
A nivel industrial, las reacciones previsibles van desde esfuerzos de cumplimiento y reingeniería de cadenas de suministro hasta litigios o presión diplomática. Empresas con capacidad para desplazar parte de su producción a Estados Unidos o a socios de confianza podrían adaptarse; otras, sin esa flexibilidad, podrían abandonar el mercado norteamericano. La FCC ha dejado claro que no pretende cerrar la puerta con llave, sino condicionar el acceso en función del grado de transparencia y la mitigación del riesgo.
Para los consumidores que quieren adelantarse a posibles efectos secundarios, lo razonable es vigilar políticas de garantía y actualizaciones del fabricante antes de comprar un aparato nuevo, y, siempre que sea posible, mantener el firmware actualizado y aplicar buenas prácticas de seguridad en casa: cambiar contraseñas por defecto, segregar dispositivos IoT en una red aparte y habilitar cifrado y autenticación robusta.
En definitiva, la inclusión masiva de routers extranjeros en la “Covered List” es una jugada ambiciosa de seguridad nacional que busca cerrar vectores de riesgo a gran escala, pero que también introduce fricciones comerciales y de suministro. El balance entre proteger infraestructuras críticas y mantener un mercado competitivo y asequible será la trama a seguir en los próximos meses: monitorizar las solicitudes de aprobación condicionada, las respuestas de los fabricantes y las decisiones de la FCC ofrecerá una visión clara de si esta medida logra su objetivo sin encarecer ni empobrecer la experiencia digital de los usuarios.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...