La Comisión Federal de Comunicaciones (FCC) está alertando a las empresas de telecomunicaciones para que actualicen sus sistemas de forma regular, habiliten la autenticación multifactor y segmenten sus redes con el fin de evitar ser víctimas de ataques de ransomware.
“Eventos recientes demuestran que algunas redes de comunicaciones estadounidenses son vulnerables a explotaciones cibernéticas que pueden representar riesgos significativos para la seguridad nacional, la seguridad pública y las operaciones comerciales”, declaró la Oficina de Seguridad Pública y del Hogar de la FCC en una alerta del 29 de enero.
La alerta indica que la FCC “ha tenido conocimiento” durante el último año de “incidentes de ransomware que involucran a empresas de comunicaciones pequeñas y medianas que interrumpieron el servicio, expusieron información y bloquearon a los proveedores el acceso a archivos críticos”.
La comisión también citó datos recientes que muestran que el número de ataques de ransomware a empresas de telecomunicaciones a nivel mundial se ha cuadruplicado entre 2022 y 2025.
La alerta de la FCC describe cómo operan los actores de ransomware, enumera las mejores prácticas para frustrarlos y explica cómo responder a una intrusión. La sección de respuesta a incidentes ofrece orientación sobre cómo informar los ataques al gobierno, incluyendo cómo contactar a la FCC, al FBI y a otras agencias.
Entre los consejos incluidos en la alerta, se recomienda monitorear las vulnerabilidades de la cadena de suministro, que representan un número significativo de intrusiones en las redes de infraestructura crítica. “Evaluar las prácticas de ciberseguridad y monitorear la vulnerabilidad de los proveedores externos reduce el riesgo de amenazas que ocurren fuera de la infraestructura controlada por el proveedor”, señaló la FCC.
Las empresas también deben realizar copias de seguridad de los datos de forma regular, capacitar a los empleados y probar los planes de respuesta a incidentes, según la comisión.
Un apéndice de la alerta enumera las mejores prácticas producidas por el Consejo de Seguridad, Fiabilidad e Interoperabilidad de las Comunicaciones público-privado de la FCC, incluyendo la exigencia de validación de los parches de software, la aplicación de contraseñas seguras y la adopción del principio de privilegio mínimo para el acceso a la red.
Preocupación creciente
Los riesgos de ciberseguridad que enfrentan las empresas de telecomunicaciones recibieron una atención significativa en 2024, cuando se supo que hackers del gobierno chino habían vulnerizado una serie de empresas de telecomunicaciones estadounidenses y extranjeras como parte de la campaña Salt Typhoon. Los expertos afirman que será difícil, si no imposible, para las empresas de telecomunicaciones asegurar completamente las redes que a menudo son un conjunto de sistemas antiguos y mal mantenidos.
Algunos legisladores han instado a la FCC y a otras agencias a hacer más para responsabilizar a las empresas de telecomunicaciones por sus fallas de seguridad. El senador Ron Wyden, demócrata por Oregón, ha declarado que bloqueará la confirmación del candidato del presidente Donald Trump para dirigir la Agencia de Seguridad de Infraestructuras y Ciberseguridad hasta que CISA publique un informe de 2022 sobre las vulnerabilidades en el sector de las telecomunicaciones. Wyden también ha presionado para que la FCC imponga nuevos requisitos de ciberseguridad a las empresas de telecomunicaciones y para que el Departamento de Justicia investigue posibles violaciones penales por parte de las víctimas de Salt Typhoon. (Wyden especuló que las empresas podrían haber incumplido sus obligaciones, en virtud de la Ley de Asistencia a las Fuerzas del Orden en las Comunicaciones y la Ley de Reclamaciones Falsas, de proteger datos confidenciales y describir con precisión sus posturas de ciberseguridad).
La administración Trump ha seguido una dirección opuesta. En noviembre, la FCC abandonó una interpretación legal de la era Biden que habría aumentado las obligaciones de ciberseguridad de las empresas de telecomunicaciones.
