Guillem Alsina Gonzàlez
La investigación que han iniciado las autoridades federales estadounidenses involucra a los departamentos de Comercio, Defensa y Justicia del país. Los temores se han incrementado desde que dos legisladores pidieron en agosto al Gobierno de Joe Biden examinar a fondo las implicaciones de seguridad que conllevan los equipos de la compañía.
Según datos del sector, TP-Link concentra el 65% del mercado estadounidense y es la opción más destacada de compra en el marketplace de Amazon. No obstante, es su uso en entornos oficiales, incluyendo el Departamento de Defensa, el que despierta la preocupación en las autoridades.
Al menos 300 proveedores de servicios de internet en el país ofrecen por defecto dispositivos de esta marca, que también aparecen en agencias gubernamentales como la NASA y la DEA. Voces oficiales alertan de la posibilidad de que China utilice estos equipos en ciberataques contra infraestructura clave de Estados Unidos.
El riesgo, según informes publicados en los últimos meses, se extiende a la probabilidad de que actores maliciosos aprovechen vulnerabilidades para ejecutar campañas de contraseña forzada y obtener acceso a redes gubernamentales y empresariales.
Investigaciones y posibles restricciones
En agosto se dio a conocer una petición formal de dos legisladores al gobierno estadounidense para profundizar en las investigaciones. Poco después, medios como The Wall Street Journal y Reuters señalaron que las pesquisas avanzan de manera independiente en varios departamentos, con la vista puesta en frenar por completo las ventas de equipos TP-Link en Estados Unidos a partir del próximo año 2025. Algunas oficinas, según se ha informado, ya han emitido citaciones a la compañía para revisar sus operaciones y el estado real de sus prácticas de seguridad.
En paralelo, el Departamento de Defensa lanzó sus propias indagaciones a principios de este año con el objetivo de determinar si el uso de estos routers, fabricados en China, conlleva riesgos para la confidencialidad de los datos manejados en sus instalaciones. La hipótesis de un veto se hace cada vez más evidente, ante el temor de que ciberdelincuentes puedan explotar fallos en los sistemas de conexión que proveen estos dispositivos.
Mientras tanto, nuevas revelaciones de firmas de ciberseguridad apuntan a que, desde septiembre de 2024, la botnet Quad7 -conocida igualmente como CovertNetwork-1658 o xlogin– se ha fortalecido e incluye miles de routers comprometidos, en su mayoría de la marca TP-Link.
Actividad maliciosa e implicaciones de seguridad
Según informes de Sekoia TDR, la red maliciosa ataca múltiples dispositivos domésticos y comerciales, aprovechando vulnerabilidades conocidas y otras aún sin documentar, para impulsar ataques distribuidos de fuerza bruta en servicios como VPN, Telnet, SSH y cuentas de Microsoft 365.
Los especialistas destacan que otras botnets, como alogin y rlogin, apuntan a dispositivos de otras compañías, aunque su tamaño parece ser más reducido. Se atribuye a actores chinos la creación y mantenimiento de la infraestructura, ya que se ha documentado su uso reiterado en ataques basados en contraseñas obtenidas a través de procesos de fuerza bruta y rociado de credenciales, con el fin de penetrar redes gubernamentales y organizaciones del sector legal y de la defensa en Norteamérica y Europa.
A principios de octubre, se conocieron más detalles sobre la participación de amenazas chinas en la explotación de routers TP-Link como nodos intermediarios. De acuerdo con Microsoft, las credenciales recolectadas por CovertNetwork-1658 son empleadas por un grupo de ataque, identificado como Storm-0940, que ha estado activo desde 2021 y se dedica a comprometer servicios de red y aplicaciones en la nube mediante password-spraying y vulneraciones de perímetro.
Los expertos señalan que rastrear la botnet es complicado, debido al uso de direcciones IP de routers domésticos y de oficina, una base rotatoria de miles de IPs que suele permanecer activa alrededor de 90 días y la baja tasa de intentos de acceso fallidos. La mayoría de las campañas dirigidas por esta infraestructura realiza apenas un solo inicio de sesión por cuenta al día, con el objetivo de esquivar los mecanismos de detección habituales.
La compañía de Redmond ha comunicado a los clientes afectados la gravedad de la situación, proporcionando orientaciones para endurecer la seguridad de sus entornos. El informe publicado por Microsoft afirma que diversos grupos de origen chino se valen de las credenciales sustraídas a través de estos ataques, lo que representa un desafío crítico para la continuidad de los servicios corporativos y gubernamentales.
TP-Link se ofrece a colaborar con las autoridades
En medio de la incertidumbre, un portavoz de la filial estadounidense de TP-Link declaró al Wall Street Journal que la empresa está dispuesta a colaborar con las autoridades estadounidenses para demostrar la robustez de sus prácticas de seguridad. La marca insiste en su compromiso con el mercado local y asegura que busca satisfacer los estándares requeridos para mitigar los riesgos de seguridad nacional que se han planteado en los últimos meses.
Por el momento, el escenario continúa marcado por la cautela gubernamental ante la actividad de las amenazas chinas, y las medidas que podrían adoptarse el próximo año. Las investigaciones en curso serán determinantes para conocer si finalmente se produce la prohibición de venta de estos routers y qué pasos tomarían los organismos de supervisión en caso de materializarse la prohibición.
Lecciones para los demás mercados
Si bien en otros mercados como el español, la penetración de TP-Link en el mercado de los enrutadores no es tan grande como en los Estados Unidos, las empresas que utilicen dispositivos de dicha firma harían bien en someterse a pentests, pruebas de penetración en las redes corporativas llevadas a cabo por profesionales de la ciberseguridad.
En cualquier caso, un análisis periódico de este tipo es recomendable para cualquier compañía, independientemente de la marca de sus routers y otros dispositivos de red.
