La Comisión Federal de Comunicaciones (FCC) esderogando un fallo de enero de 2025aplicado tras los ataques del tifón de sal patrocinados por China. El grupo de hackers chino se infiltró en ocho empresas de comunicaciones, incluidas AT&T y Verizon, yposiblemente tambiénIntentó un ataque a T-Mobile que fue frustrado.
Ex presidenteEl fallo de Jessica Rosenworcelintentó reforzar las defensas contra adversarios extranjeros, pero ahora se ha descubierto que es ilegal e ineficaz.
FCC nueva versus antigua
El fallo de enero de 2025 fue aprobado en los últimos días de la administración del expresidente estadounidense Joe Biden. La nueva FCC, bajo la dirección de Brendan Carr, esrescindiendo ese fallo. Carr dice que la “FCC anterior” se extralimitó en su autoridad al aprobar el fallo y su respuesta no fue apropiada.
En el meollo del asunto está la interpretación de la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley (CALEA). Esta ley fue aprobada en 1994 para exigir a los transportistas que garanticen la presencia de las capacidades de vigilancia necesarias para cumplir con las solicitudes legales de información. La ley tiene por objeto permitir que los organismos encargados de hacer cumplir la ley lleven a cabo vigilancia sin violar la privacidad de la información fuera del alcance de su investigación.
Lectura sugerida:T-Mobile, Verizon y AT&T observan cómo la FCC organiza su primera subasta de banda C desde que 5G maduró en EE. UU.
La FCC de Rosenworcel responsabilizó a los transportistas, según su comprensión de CALEA, de impedir la interceptación de comunicaciones por cualquier medio no autorizado. Dijo que los operadores debían proteger sus redes contra amenazas y, como extensión, adoptar prácticas de gestión en toda su red.
La FCC de Carr dice que CALEA fue malinterpretada y argumenta que la ley sólo permite escuchas telefónicas legales o monitoreo dentro de una determinada porción de las redes.
La FCC de Carr ha decidido seguir una estrategia flexible y colaborativa para proteger las redes. Ha estado trabajando con proveedores de red para mejorar las defensas. Los operadores han implementado “controles adicionales de ciberseguridad para fortalecer sus redes”, como reparar agujeros en equipos vulnerables, actualizar y revisar los controles de acceso y cerrar conexiones salientes innecesarias. Las empresas de telecomunicaciones también se han comprometido a compartir más información sobre ciberseguridad.
La FCC también afirma que el fallo de enero de 2025 pedía en términos generales a todos los operadores que tomaran medidas para evitar todo espionaje ilegal de información relacionada con las llamadas, sin proporcionar ninguna orientación sobre cómo hacerlo. Esto puso a los transportistas en una situación difícil, ya que las directrices eran difíciles de seguir. El enfoque único también requería que los transportistas impusieran medidas costosas que no necesariamente eran relevantes para las amenazas que enfrentaban.
La nueva FCC también discrepa del hecho de que la FCC anterior se apresuró a aprobar el fallo, renunciando al proceso de elaboración de normas de "aviso y comentario". Bajo este proceso, los comentarios del público se consideran antes de desarrollar reglas finales.
Luego de un amplio compromiso de la FCC con los operadores, el artículo anuncia los pasos sustanciales que los proveedores han tomado para fortalecer sus defensas de ciberseguridad. Al hacerlo, también revocaremos un fallo declarativo de última hora de la CALEA alcanzado por la FCC anterior, una decisión que excedió la autoridad de la agencia y no presentó una respuesta eficaz o ágil a las amenazas de ciberseguridad relevantes. Entonces, estamos corrigiendo el rumbo. Brendan Carr, presidente de la FCC, octubre de 2025
Los transportistas estadounidenses siguen siendo vulnerables
Las amenazas a las aerolíneas estadounidenses no han disminuido. En todo caso, los ataques, particularmente los provenientes de China, se están volviendo más sofisticados. Ante la evolución de estas amenazas, se necesitan urgentemente medidas eficaces de ciberseguridad.
Los ataques de Salt Typhoon utilizaron vulnerabilidades comunes y debilidades evitables para infiltrarse en las redes. La FCC está trabajando con agencias federales y operadores para proteger las redes de este tipo de ataques. Esto incluye el monitoreo de cortes de red causados por incidentes cibernéticos.
La diferencia entre estas medidas y las anteriores es que tienen un objetivo específico, en lugar de ser inflexibles y ambiguas.
¿Será esto suficiente?
La FCC de Carr reconoce que los malos actores han lanzado repetidamente ataques cibernéticos a las telecomunicaciones estadounidenses.
Asociaciones como CTIA, NCTA y USTelecom solicitaron a la FCC que rescindiera el fallo de enero de 2025, señalando que la industria había invertido recursos voluntariamente para fortalecer sus defensas después del Salt Typhoon y continuaría haciéndolo para mantenerse al día con las amenazas emergentes. También argumentó que las colaboraciones entre los transportistas y el gobierno permitieron que el servicio prestado respondiera rápidamente al Salt Typhoon.
Las asociaciones también insistieron en que los atacantes respaldados por el Estado, como Salt Typhoon, tienen recursos ilimitados contra los cuales las empresas del sector privado por sí solas no podrían competir.
Si bien la FCC de Rosenworcel puede haber entendido mal la CALEA, su requisito, por amplio que fuera, obligaba a los transportistas a tomar medidas para impedir toda interceptación no autorizada. Este enfoque sin concesiones sonó mejor, al menos en teoría, para incitar a AT&T,T-Mobiley Verizon deben estar atentos a la seguridad de la red.
La revocación de la sentencia podría hacer que los operadores no lo hagan y poner a sus usuarios en riesgo una vez más.
