El 23 de marzo, la FCC publicó una actualización de su «Lista de productos regulados», una lista de equipos a los que se les prohíbe obtener la autorización reglamentaria necesaria para su venta en EE. UU. (lo que supone, en la práctica, una prohibición de la venta de dispositivos nuevos), con el fin de incluir todos los routers nuevos fabricados en el extranjero, salvo que el Departamento de Defensa (DoD) o el Departamento de Seguridad Nacional (DHS) les concedan una excepción específica. La Comisión citó «brechas de seguridad en los routers de fabricación extranjera» que dan lugar a ciberataques generalizados como justificación de la prohibición, mencionando los ataques de gran repercusión perpetrados por los actores chinos de amenazas persistentes avanzadas Volt, Flax y Salt Typhoon. Aunque la intención declarada es frenar la amenaza muy real de que los routers residenciales nacionales sean secuestrados para iniciar ataques y actuar como proxies residenciales, esta medida de amplio alcance actúa como un instrumento contundente que afectará a muchos productos inofensivos. Además de ser demasiado amplia, ni siquiera afectará a muchos dispositivos vulnerables que son los más activos en este tipo de ataques: los dispositivos IoT y los dispositivos domésticos inteligentes conectados.
Anteriormente, la FCC había modificado la Lista de Productos Prohibidos para prohibir el hardware de proveedores específicos, como los equipos de telecomunicaciones fabricados por las empresas Huawei e Hytera en 2021. Esta nueva prohibición general, por el contrario, afecta a la importación y venta de casi todos los routers de consumo nuevos. No afecta a los routers de consumo fabricados en Estados Unidos, como Starlink en Texas. Aunque algunos de los routers afectados serán vulnerables a ataques que secuestran los dispositivos y los utilizan para cometer delitos cibernéticos y llevar a cabo ataques, esta prohibición no distingue entre empresas con un historial de fabricación de productos vulnerables y aquellas que no lo tienen. Como resultado, en lugar de incentivar una producción centrada en la seguridad, esto solo limitará las opciones de los consumidores a los fabricantes con sede en EE. UU. no afectados por la prohibición, incluso aquellos que carecen de una reputación de seguridad excelente.
Aunque la venta de routers vulnerables en EE. UU. no se detendrá, el anuncio citaba una determinación del Poder Ejecutivo según la cual los routers de fabricación extranjera introducen «una vulnerabilidad en la cadena de suministro que podría perturbar la economía estadounidense, las infraestructuras críticas y la defensa nacional». Sin embargo, esta medida no hace nada para abordar el creciente número de dispositivos conectados implicados en los ataques que esta prohibición pretende combatir. Como ya hemos señalado anteriormente, los ataques a la cadena de suministro han dado lugar a dispositivos Android TV de marcas desconocidas preinstalados con malware, vendidos por gigantes minoristas como Amazon, lo que ha alimentado el fraude masivo de Kimwolf y BADBOX 2 y las redes de bots de proxies residenciales. La prioridad debería ser prohibir los modelos y fabricantes específicos que sabemos que producen dispositivos peligrosos que ponen en riesgo a sus compradores, en lugar de imponer prohibiciones generales que castiguen a marcas de buena reputación que lo hacen mejor.
Con el presidente de la FCC nombrado por el presidente, esta prohibición llega en un momento en que otras partes de la administración imponen aranceles y emiten docenas de órdenes ejecutivas relacionadas con el comercio dirigidas a los productos extranjeros. Algunas empresas más grandes con recursos suficientes para invertir en plantas de fabricación dentro de EE. UU. pueden ver esto como un momento oportuno, mientras que otras que no están tan bien posicionadas para iniciar operaciones en EE. UU. pueden intentar ganarse el favor suficiente para ser añadidas a las listas de excepciones del Departamento de Defensa (DoD) o del Departamento de Seguridad Nacional (DHS). En el mejor de los casos, esto tendrá como efecto inmediato una política mal orientada que contribuye poco a mejorar la postura de ciberseguridad nacional. En el peor de los casos, afianza a los actores existentes y profundiza en acuerdos problemáticos de «algo por algo».
Los consumidores estadounidenses se merecen algo mejor. Se merecen la garantía de que los dispositivos que utilizan, ya sean routers u otros dispositivos domésticos inteligentes conectados, estén fabricados para resistir ataques que los pongan a ellos y a otros en riesgo, independientemente de dónde se fabriquen. Para ello, es necesaria una consideración matizada y cuidadosa de los productos (como formaba parte de la U.S. Cyber Trust Mark propuesta por la FCC para 2023), en lugar de prohibiciones generales.
