No tanto la vulnerabilidad como la "huella china" en el hardware: TP-Link, rehén de la política exterior de Estados Unidos

Las autoridades estadounidenses se preparan para imponer una prohibición a la venta de routers y otro equipo de red TP-Link Systems. Según fuentes, la iniciativa está vinculada no tanto a vulnerabilidades técnicas de los dispositivos como a los supuestos lazos del fabricante con China. Sin embargo, los especialistas señalan: casi toda la industria en este segmento compra componentes en China y con frecuencia suministra dispositivos con configuraciones inseguras tal como vienen de fábrica.

Según información publicada en The Washington Post, varios organismos federales apoyaron la propuesta de prohibir las entregas de productos de TP-Link en el mercado estadounidense. El Departamento de Comercio de EE. UU. consideró que los dispositivos de esta marca representan un riesgo, porque procesan datos sensibles de usuarios y podrían estar sujetos a la influencia de las autoridades chinas.

La empresa rechazó estas acusaciones, afirmando que en los últimos tres años separó por completo la filial estadounidense TP-Link Systems de la TP-Link Technologies china. Según representantes de la firma, su participación en EE. UU. no supera el 30%, y la oficina central se encuentra en California, mientras que algunas plantas de producción se han trasladado a Vietnam. No obstante, según el exempleado de la NSA Rob Joyce, la cuota real de la compañía podría alcanzar el 60% —en parte debido a un dumping agresivo y a la venta de equipos por debajo del costo. TP-Link sostiene que realiza investigación, diseño y ensamblaje propios del equipo, salvo los microchips, que adquiere a proveedores externos.

La filial estadounidense mantiene la propiedad de capacidades de ingeniería y producción en China, pero afirma gestionarlas de forma autónoma y sin la intervención del gobierno de la RPC. La representante de TP-Link Systems Rikka Silverio subrayó que la compañía no constituye una amenaza para la seguridad nacional de EE. UU. y sigue siendo proveedora de soluciones fiables para el mercado estadounidense.

La razón principal de la popularidad de TP-Link es el precio bajo manteniendo características decentes. Los medios señalan que los productos de la compañía son notablemente más baratos que los equivalentes, lo que resulta especialmente atractivo para los proveedores de Internet que instalan masivamente routers a sus clientes. Sin embargo, en el verano de 2024 el Congreso pidió una investigación: los legisladores indicaron que dispositivos TP-Link se utilizaron incluso en bases militares y se vendieron en tiendas para personal del Ejército.

En una carta dirigida al Departamento de Comercio, los congresistas afirmaron que la combinación de vulnerabilidades y la obligación legal a la que están sujetas las empresas chinas genera preocupación. Recordaron que los grupos chinos con frecuencia utilizan routers domésticos y de oficina, incluidos los de TP-Link, en ataques contra redes estadounidenses.

Como prueba de esta amenaza, los parlamentarios citaron una publicación de Check Point Research de mayo de 2023. En ella se describía la actividad del grupo Camaro Dragon, vinculado a servicios especializados chinos. Los investigadores hallaron un firmware malicioso para algunos modelos de TP-Link, empleado en ataques dirigidos contra estructuras diplomáticas europeas. Check Point señaló que los componentes maliciosos tenían carácter genérico y podían implantarse en dispositivos de otras marcas.

En octubre de 2024 Microsoft también informó sobre una campaña de varios años, en la que varios grupos de hackers chinos emplearon routers TP-Link comprometidos para atacar cuentas corporativas de Microsoft. En particular, los atacantes realizaban comprobaciones masivas de combinaciones populares de contraseñas para acceder a las cuentas.

TP-Link indica que no es una excepción: casi todos los fabricantes de equipo de red, incluidas Cisco y Netgear, han visto sus vulnerabilidades explotadas por grupos extranjeros. No obstante, eso no tranquiliza a los usuarios, que temen que sus dispositivos puedan quedar en riesgo, independientemente de la marca.

El problema de seguridad de los routers domésticos es mucho más profundo que la pertenencia a un país concreto. La mayoría de los modelos de consumo se venden con configuraciones inseguras: credenciales y contraseñas estándar, firmware desactualizado y servicios abiertos con frecuencia convierten un dispositivo nuevo en presa fácil de botnets a los pocos minutos de conectarlo a la red.

Antes los fabricantes casi no prestaban atención a este problema, trasladando la responsabilidad a los usuarios. Pero en los últimos años la situación cambió: las nuevas generaciones de routers con mayor frecuencia obligan a cambiar la contraseña y actualizar el firmware ya en la configuración inicial. Así, los modernos sistemas en malla —Eero, Orbi o ZenWiFi— requieren registro en línea e instalan automáticamente las actualizaciones de seguridad.

Incluso modelos económicos de Belkin y Linksys ahora ofrecen una instalación rápida mediante aplicaciones móviles. Aunque estas soluciones facilitan la vida a los principiantes, con frecuencia limitan las posibilidades de configuración manual y de actualización, lo que deja margen para problemas potenciales.

Para usuarios avanzados queda otra vía: instalar firmware alternativo y abierto, como OpenWrt o DD-WRT. Estos sistemas son compatibles con multitud de modelos, permiten configurar VPN, bloqueo de publicidad, monitorización de tráfico y otras funciones no disponibles en el software de fábrica. Además, prolongan la vida útil de dispositivos antiguos, aunque exigen actualizaciones manuales y conocimientos técnicos básicos.

Los usuarios de TP-Link preocupados por la posible prohibición pueden optar precisamente por esta vía: una parte significativa de los modelos es compatible con OpenWrt. Esto no eliminará los riesgos de hardware, pero permitirá librarse de vulnerabilidades típicas del software de fábrica, como cuentas integradas y errores de autenticación.

Por último, es importante recordar: si el router lo proporciona el proveedor, no conviene cambiar el firmware por cuenta propia. Esos dispositivos suelen tener perfiles especiales para operar en la red del operador y se gestionan de forma centralizada, por lo que cualquier intervención sin acuerdo puede provocar pérdida de conectividad.

En cualquier caso, la prohibición inminente de TP-Link, si se aprueba, afectará inevitablemente al mercado estadounidense de soluciones de red económicas. Pero al mismo tiempo plantea una cuestión más amplia: hasta qué punto es posible la seguridad en una industria donde casi todas las cadenas de producción pasan por China.