¿Por qué la FCC prohíbe routers extranjeros?

El 23 de marzo de 2026, la FCC añadió todos los routers de consumo fabricados fuera de Estados Unidos a su Covered List, prohibiendo nuevas importaciones y autorizaciones de modelos. Según el comunicado oficial, la medida busca cerrar vulnerabilidades de seguridad exploradas por actores estatales, pero genera un vacío de mercado: no existen fabricantes de routers SOHO estadounidenses. Los usuarios pueden mantener sus dispositivos actuales hasta el 1 de marzo de 2027, aunque enfrentan probable escasez de opciones futuras.

Qué es la prohibición de routers de la FCC

La prohibición de routers de la FCC es una decisión regulatoria que detiene nuevas autorizaciones de equipos de red de consumo (routers, Wi-Fi 6/6E) fabricados fuera de Estados Unidos. No es un embargo retroactivo. Según el orden de la FCC del 23 de marzo, la medida cubre todos los routers residenciales y para pequeña empresa (SOHO) —exactamente los que tenés en tu casa o en la oficina del barrio.

¿Qué significa eso en la práctica? (Spoiler: no es lo que parece.) Si compraste un router TP-Link hace 6 meses, sigue siendo legal. Lo que cambió es que fabricantes no pueden traer modelos nuevos a Estados Unidos. Subís el modelo, lo aprobás con FCC, funciona todo un año, lo mandás a producción y de repente la FCC te dice “no, ese no entra” (sí, en serio, así de abrupto). El punto de corte fue el 23 de marzo de 2026. Modelos autorizados antes de esa fecha: legales. Modelos post-23 de marzo de manufactura extranjera: prohibidos.

Razones de seguridad: ataques Salt Typhoon, Volt y Flax

La prohibición no nace de la paranoia. En 2024, Salt Typhoon infiltró operadores de telecomunicaciones estadounidenses comprometiendo más de 200 compañías. El ataque fue quirúrgico: acceso persistente de dos años, espionaje de comunicaciones de clientes de alto nivel, robo de registros de llamadas. ¿El vector? Routers.

Volt Typhoon fue más simple. Tomaban routers Cisco RV042 y Netgear antiguos (equipos que fabricantes ya no parchean) y los usaban para crear KV Botnet, un amasijo de routers zombificados que atacaban infraestructura crítica estadounidense. Flax Typhoon hizo lo mismo pero con dispositivos IoT y routers — convertía tu router doméstico abandonado en soldado de una botnet. Microsoft identificó miles de routers TP-Link comprometidos en el mismo patrón.

El problema de los routers extranjeros no es una conspiración. Es que operan fuera de jurisdicción estadounidense. Si un fabricante chino descubre una vulnerabilidad en su firmware, ¿la reporta a la FCC antes de parcharla? No lo hace. ¿Esos routers llegan a redes críticas estadounidenses? Constantemente. Y una vez instalados, no hay forma de obligar un firmware actualizado si el fabricante no coopera.

Routers y marcas afectadas por la prohibición

Ojo: incluso marcas “estadounidenses” están afectadas. Netgear es empresa de San Jose, pero fabrica en Vietnam. ASUS es taiwanesa. Linksys (propiedad de Belkin, que es estadounidense) fabrica en Taiwan a través de Foxconn. Si tu router no dice “Made in USA”, está en la lista negra de la FCC, punto. La prohibición de routers de la FCC cierra la importación, no el hecho de ser norteamericano en nombre.

Impacto inmediato: ¿qué pasa si ya tengo un router?

Si ya instalaste un Netgear RAX200 en enero de 2026, no pasa nada. Seguís usando el router. No es retroactivo. No te llega un inspector de la FCC a tu departamento diciéndote “tenés 24 horas para reemplazarlo”. Los modelos autorizados por FCC antes del 23 de marzo de 2026 quedan en la lista de equipos legales para toda la vida. Relacionado: implicaciones de seguridad y privacidad.

Lo que sí cambia es que en junio no podés comprar un modelo nuevo de TP-Link recientemente lanzado. El retailer intenta importar, la aduana lo bloquea, chau. En agosto necesitás reemplazar el router porque se quemó, pero tu modelo exacto ya no está en venta: el fabricante o lo tira, o consigue autorización condicional de la FCC (que significa relocalizarse a EE.UU., algo que ASUS y Netgear ya están evaluando). El 1 de marzo de 2027, se cierran los últimos agujeros de stock residual. Después de esa fecha, no hay gracia.

Acá viene lo bueno: hay potencial escasez brutal. Si necesitás un router Wifi 6 a mitad de 2027 y los únicos disponibles son modelos de manufactura estadounidense (que no existen todavía), vas a pagar lo que sea. Donweb y otros proveedores de hosting van a tener que también actualizar su equipamiento core.

Vulnerabilidades comunes en routers SOHO y por qué son blancos

Los routers domésticos son blancos porque nadie les presta atención. El 87% de routers tiene vulnerabilidades críticas sin parchar (según análisis del 2025). ¿Por qué? Porque fabricantes lanzan el modelo, lo soportan 3 años, y después: fin. El firmware de tu Netgear RV320 de 2018 se quedó estancado en 2021. Una vulnerabilidad descubierta en 2025 nunca será parcheada.

Las vulnerabilidades típicas de routers SOHO:

• Contraseñas default nunca cambiadas: “admin/admin” sigue siendo la contraseña de acceso. Cualquiera que conecte a tu Wifi y sepa tu IP de gateway puede entrar al panel de administración.
• Interfaces de administración expuestas en WAN: el puerto 8080 o 443 del router abierto a internet. Un escaneo de Shodan encuentra miles. CVE-2024-2961 en Cisco RV042 permitía RCE directamente desde internet sin autenticación.
• UPnP habilitado por defecto: protocolo que permite a aplicaciones locales mapear puertos en el router. Una malware en tu red infecta el router antes de que vea venir.
• Firmware desactualizado por default: instalás el router, nunca actualizás, años pasan, el fabricante descubre un 0-day, vos seguís vulnerable en el mismo firmware de shipped.

El patrón que Salt Typhoon y Volt Typhoon explotaron fue exactamente ese: encontrar routers con años sin parches, acceso default, puertos expuestos. No necesitaba un 0-day. Necesitaba una lista de direcciones IP públicas y un script de fuerza bruta. Complementá con normativas de seguridad en dispositivos.

El paradoja: falta de alternativas estadounidenses

Acá está el problema que ningún regulador quiso enfrentar. No existen fabricantes de routers SOHO en Estados Unidos. Cero. Ni uno. ¿Dónde se hacen routers? En Taiwan (ASUS, MediaTek), Vietnam (Netgear, TP-Link), China (la mayoría de componentes), Tailandia (algunos subcontratos). La industria entera de electrónica de consumo está fuera de EE.UU.

Entonces: ¿qué hacen los fabricantes cuando la FCC dice “no routers de afuera”? Opción A: dejan de vender routers en Estados Unidos. Opción B: consiguen autorización condicional, que significa comprometerse a relocalizarse en EE.UU., lo que toma 2-5 años y requiere inversión masiva en plantas de manufactura. ASUS anunció que está evaluando Opción B. Netgear también. TP-Link y el resto: silencio radio.

Resultado esperado: de acá a 2027, habrá routers disponibles (los que se autorizaron antes de marzo), pero después, mercado contraído. Menos opciones. Precios más altos porque no hay competencia. El usuario de a pie termina con un router más caro, menos features, probablemente de marca que antes no existía (startups de manufactura estadounidense que no tienen tracción todavía).

Recomendaciones de seguridad mientras tanto

Si tenés un router que compraste hace 2 años y seguís usando la contraseña admin/admin, acá van las cosas que necesitás hacer ya: Lo explicamos a fondo en riesgos en conexiones de infraestructura.

• Cambiar contraseña admin inmediatamente. Algo que no sea “admin” ni “12345” ni tu fecha de nacimiento. 16 caracteres, mayúsculas, números, símbolos. El router no necesita ser memorable.
• Actualizar firmware regularmente. Una vez al mes, entrar al panel del router y chequear “Check for Updates”. Si hay actualización, instalarla. Sí, hoy mismo si hay una pendiente.
• Desactivar UPnP si no lo usás. Ajustes → UPnP → off. La mayoría de usuarios domésticos no lo necesita.
• Usar WPA3 en lugar de WPA2. Si tu router lo soporta (Wifi 6E moderno), cambiar a WPA3 encryption. Si solo tiene WPA2, ok, pero asegurate de que no esté en “WPA/WPA2 mixed” sino 100% WPA2.
• Cambiar el SSID (nombre de red) default. No te llames “Netgear-3542” ni “TP-Link-Guest”. Un SSID default le dice al atacante exactamente qué modelo de router tenés.
• Habilitar el firewall del router. Debería estar on por defecto, pero chequea. Ajustes → Firewall → Enable.
• Crear una red guest para IoT devices. Tu Alexa, Ring, smart TV, no deberían estar en la misma red que tu laptop con datos sensibles. Red guest, password fuerte, aislada.
• Reemplazar routers end-of-life antes de marzo 2027. Si tu router tiene más de 5 años, o el fabricante dejó de dar soporte hace 2+, reemplazalo ahora mientras hay opciones. Post-marzo será más caro.

Qué está confirmado / Qué no

Confirmado:

• La FCC añadió routers de consumo a su Covered List el 23 de marzo de 2026 (official FCC order DA-26-278).
• Salt Typhoon comprometió 200+ proveedores de telecomunicaciones estadounidenses en 2024 usando acceso persistente a routers.
• Volt Typhoon utilizó routers Cisco RV042/RV320 y Netgear antiguos para crear botnets de infraestructura crítica.
• No existen fabricantes de routers SOHO en Estados Unidos actualmente.
• Routers autorizados por FCC antes del 23 de marzo de 2026 siguen siendo legales indefinidamente.
• Consumidores pueden seguir usando routers existentes; no hay confiscaciones obligatorias.
• El 1 de marzo de 2027 es la fecha de cierre de autorizaciones grandfathered; post-esa fecha, stock residual termina.

No confirmado / Por verificar:

• Cuántos fabricantes exactamente van a relocalizarse a EE.UU. (Netgear y ASUS lo anunciaron, otros no).
• Impacto de precio exacto post-marzo 2027 (modelos de depreciación sugieren +30-50%, pero no hay confirmación oficial).
• Si la FCC ampliará la prohibición a otros dispositivos de red (switches, firewall, acceso points) más adelante.
• Detalles de las “autorizaciones condicionales” — qué requisitos exactos de manufactura estadounidense son aceptados.

Errores comunes

Error 1: “Si tengo un router antiguo, la FCC me lo va a confiscar”
No. La prohibición de routers de la FCC es prospectiva, no retroactiva. Tu router de 2023 es legal en 2026, 2027, y 2050. Lo que cambió es qué routers NUEVOS pueden importarse. Nadie le va a tocar el router que ya tenés.

Error 2: “Necesito comprar un router nuevo ahora antes que prohíban”
Innecesario. Modelos autorizados antes del 23 de marzo de 2026 siguen siendo legales para venta y uso post-esa fecha. Hay stock hasta marzo 2027 mínimo. No es Black Friday. Si tu router actual funciona, no apures la compra.

Error 3: “La prohibición es por privacidad, los fabricantes chinos espiaban”
No es privacidad, es seguridad nacional. El riesgo no es que TP-Link espíe tus emails. El riesgo es que gobiernos extranjeros infecten routers estadounidenses como escalón hacia redes críticas, operadores de telecomunicaciones, infraestructura energética. Salt Typhoon lo hizo. La FCC reacciona a eso, no a privacidad de consumidor (que nadie menciona en los documentos).

Preguntas Frecuentes

¿Qué es la prohibición de routers de la FCC y por qué se hizo?

La FCC prohibió nuevas autorizaciones de routers fabricados fuera de EE.UU. el 23 de marzo de 2026 en respuesta a ataques estatales (Salt Typhoon, Volt Typhoon) que comprometieron infraestructura crítica estadounidense a través de routers extranjeros. Es una medida de seguridad nacional, no privacidad. Para más detalles técnicos, mirá arquitectura de red segura y confiable.

¿Afecta a mi router actual si ya lo tengo en casa?

No. Routers autorizados por FCC antes del 23 de marzo de 2026 siguen siendo legales para usar indefinidamente. No hay confiscaciones. Lo que cambió es qué modelos NUEVOS pueden importarse después de esa fecha.

¿Cuál es el riesgo real de usar routers fabricados en el extranjero?

El riesgo principal es vulnerabilidades sin parchar. Routers extranjeros operan fuera de jurisdicción estadounidense. Si el fabricante descubre un 0-day, no hay garantía de que lo corrija rápido o de que lo corrija antes de que un actor estatal lo explote. Salt Typhoon explotó exactamente eso: routers sin actualizar con puertas abiertas al interior de redes críticas.

¿Existen alternativas de routers seguros fabricados en Estados Unidos?

Actualmente, no. No hay fabricantes de routers SOHO en EE.UU. ASUS y Netgear están evaluando relocalizarse, pero eso toma 2-5 años. Hasta entonces, cualquier router nuevo post-marzo 2027 que quieras comprar tendrá que ser de una marca que haga manufactura estadounidense o conseguir una autorización especial de la FCC.

¿Hasta cuándo podré comprar routers importados después de la prohibición?

Hasta el 1 de marzo de 2027 como máximo. Esa es la fecha de cierre de autorizaciones grandfathered. Después, solo routers con manufactura estadounidense o autorizaciones condicionales de la FCC. El stock residual de importaciones termina en esa fecha.

Conclusión

La prohibición de routers de la FCC no es una casualidad. Salt Typhoon demostró que gobiernos extranjeros pueden usar routers domésticos como punto de entrada a infraestructura crítica estadounidense. La FCC hizo lo que tenía que hacer: cortar el suministro de equipos que no pueden ser parcheados por reguladores estadounidenses.

Lo malo es que el sistema no tiene respuesta. Estados Unidos no fabrica routers. La prohibición crea un vacío que será ocupado por precios más altos y menos opciones. De acá a 2027, si tu router necesita reemplazo, mejor actuar rápido. Post-marzo, el mercado será más restrictivo.

Mientras tanto: cambiar contraseña admin, actualizar firmware, desactivar UPnP. Los routers que ya tenés no van a ningún lado. Los que compres después de marzo 2026 van a tener otro dueño.

Fuentes

• FCC – FAQ: Recent Updates to FCC Covered List Regarding Routers Produced in Foreign Countries
• FCC Order DA-26-278 – Prohibiting Authorization and Marketing of Communications Equipment Produced or Manufactured Outside the United States
• The Hacker News – Salt Typhoon APT Exploits Cisco, Ivanti, and Palo Alto Networks Vulnerabilities
• BlackBerry – Salt Typhoon APT Group Analysis
• Tom’s Hardware – Here’s What the FCC Ban on Foreign-Manufactured Routers Actually Means for Consumers