US telecom giants at risk as Federal Communications Commission scraps key cyber-security ruling

• La norma anulada de enero de 2025 surgió a raíz de una campaña de piratería informática, conocida como “Salt Typhoon”, que comprometió a varias grandes empresas de telecomunicaciones.
• La FCC ahora dice que confiará en medidas más específicas y flexibles en lugar de normas de ciberseguridad prescriptivas, un cambio que, según advierten los expertos en ciberseguridad, podría crear una protección inconsistente en las redes.

Qué sucedió: La FCC vota 2-1 para derogar la norma de ciberseguridad de telecomunicaciones de 2025

A principios de este mes, la FCC votó 2 a 1 para anular una orden declarativa emitida en enero de 2025 que exigía a los operadores de telecomunicaciones de EE.UU. proteger sus redes contra accesos no autorizados o interceptaciones. Según esa norma, los operadores estaban legalmente obligados a reforzar las defensas de red, una respuesta a una ola de ciberataques atribuidos a la campaña de piratería Salt Typhoon, que había vulnerado varias grandes empresas, incluidas Verizon y AT&T. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

La derogación fue impulsada por el actual presidente de la Comisión Federal de Comunicaciones (FCC), Brendan Carr, quien argumentó que la orden anterior “excedía la autoridad de la agencia” y no logró ofrecer un marco de ciberseguridad suficientemente eficaz o adaptable. La justificación publicada por la comisión señala que muchos operadores han tomado desde entonces medidas para fortalecer su infraestructura de forma independiente, lo que llevó a los reguladores a reemplazar el requisito general por normas más “específicas” y “flexibles”, como exigir a los operadores de cables submarinos que implementen planes de gestión de riesgos de ciberseguridad.

Lea también: Acuerdo de Paramount con Trump criticado por comisionado de la FCC
Lea también: Los comisionados de la FCC Simington y Starks renuncian

Por qué es importante

La derogación llega en un momento precario para la seguridad de las telecomunicaciones. La campaña Salt Typhoon no fue una intrusión menor: según los críticos, infiltró más de 200 empresas de telecomunicaciones e internet en todo EE.UU., presuntamente comprometiendo registros de llamadas, interceptando sistemas de interceptación legal y permitiendo operaciones de vigilancia a gran escala. Al anular los requisitos básicos generales, la FCC corre el riesgo de dejar vacíos de protección que podrían ser explotados por piratas informáticos respaldados por estados o ciberdelincuentes.

Los expertos en ciberseguridad han expresado su preocupación. Por ejemplo, el CISO de una importante empresa de seguridad argumentó que las normas obligatorias habían impulsado mejoras reales: implementación de arquitecturas de confianza cero, mejor segmentación de redes y una revisión más rigurosa de la cadena de suministro. Eliminar esos requisitos, advirtió, “crea un mosaico de defensas en redes interconectadas, lo que garantiza que los adversarios explotarán los eslabones más débiles”. Ver también: Alejandro Estua.

Por otro lado, los defensores de la derogación, incluidos los grandes operadores, argumentan que las normas originales eran demasiado prescriptivas y costosas, que muchos proveedores ya han reforzado sus defensas y que una regulación más flexible y basada en riesgos es preferible. Ver también: Alejandro Manzo.

Este giro de los acontecimientos plantea preguntas críticas: si las protecciones básicas ya no son obligatorias, ¿cómo funcionarán en la práctica la supervisión y el cumplimiento? ¿Mantendrán los operadores individuales una seguridad sólida voluntariamente, o la presión competitiva y las preocupaciones de costos llevarán a una protección desigual en las redes? En una era de creciente sofisticación de las amenazas cibernéticas, no deben subestimarse las posibles consecuencias para la privacidad de los datos de los consumidores, la seguridad nacional y la confianza en la infraestructura de comunicaciones. Ver también: Alejandro Hernandez.