TL;DR:

TP-Link busca mantener vivo su negocio en EE.UU. tras el veto de la FCC a nuevos routers de consumo fabricados en el extranjero.

La empresa asegura que se separó de su matriz china, mudó su sede global a Irvine, California, y que sus dueños son Jeffrey Chao y su esposa.

El caso importa porque expone una falla mayor: los routers domésticos siguen siendo una de las puertas más débiles de la ciberseguridad cotidiana.

TP-Link, uno de los mayores vendedores de routers de consumo en Estados Unidos, enfrenta su prueba más dura: convencer al gobierno estadounidense de que sus equipos no representan un riesgo de seguridad nacional. La presión escaló después de que la FCC incluyó en marzo de 2026 a los routers de consumo fabricados en el extranjero dentro de su Covered List, una medida que impide aprobar nuevos modelos importados salvo que reciban una autorización condicionada. El problema para TP-Link no es solo técnico: también es político. La compañía nació en China, dice haberse separado de su operación china y ahora intenta presentarse como una empresa estadounidense desde California.

El veto de la FCC no nombra a TP-Link, pero le pega de lleno

La decisión de la Federal Communications Commission no prohíbe que los consumidores sigan usando routers que ya compraron, ni bloquea la venta de modelos previamente autorizados. El golpe está en otra parte: los nuevos modelos de routers de consumo producidos fuera de Estados Unidos ya no pueden recibir autorización de la FCC para entrar al mercado, salvo que el Departamento de Defensa o el Departamento de Seguridad Nacional otorguen una Conditional Approval.

Eso deja a TP-Link en una posición incómoda. La regla es neutral en el papel, pero llega después de años de presión contra empresas tecnológicas con origen chino. Netgear, Adtran y otras firmas ya recibieron aprobaciones condicionadas para ciertos equipos; TP-Link, según el reporte de The Wire China, todavía no obtiene una exención comparable.

El dato que volvió políticamente explosivo el caso es su avance en el mercado. De acuerdo con el testimonio citado por The Wire China de Rob Joyce, exdirector de ciberseguridad de la NSA, la participación de TP-Link en el mercado estadounidense de routers de consumo habría pasado de 10% en 2019 a más de 60% en 2025. La empresa disputa esa lectura y afirma que su participación en Norteamérica fue menor al 10% en 2024 cuando se incluyen routers entregados por proveedores de internet como AT&T y Verizon.

La diferencia no es menor: una cifra mide el mercado de consumo minorista; la otra parece ampliar el universo para incluir equipos distribuidos por proveedores de internet. Esa ambigüedad es justo el centro del problema regulatorio: Washington no solo ve una marca barata y popular, sino una infraestructura doméstica instalada en millones de hogares.

TP-Link dice que ya eligió Estados Unidos

La defensa de TP-Link se apoya en una reestructura corporativa. La compañía afirma que se separó de TP-LINK Technologies Co., Ltd., enfocada en China continental, y que en octubre de 2024 estableció a TP-Link Systems Inc. en Irvine, California, como sede global. En su sitio oficial, TP-Link dice que Jeffrey Chao —también identificado como Jianjun Chao— y su esposa Hillary son los únicos propietarios, y que Chao es el CEO.

“Como una compañía con sede en Estados Unidos, ningún gobierno —extranjero o nacional— tiene acceso ni control sobre el diseño y la producción de nuestros routers y otros dispositivos”.

Ese mensaje busca cortar de raíz la sospecha central: que Beijing podría presionar a una empresa nacida en China para colaborar con operaciones de inteligencia o para exponer vulnerabilidades antes de corregirlas.

The Wire China reporta que TP-Link también ha intentado mover decisiones operativas hacia Estados Unidos. La compañía dijo al medio que sus funciones centrales de producto y seguridad de datos están supervisadas por un equipo de seguridad con base en EE.UU. y con responsabilidad ante el liderazgo estadounidense.

Pero el expediente no queda limpio. Según el mismo reporte, TP-Link todavía tenía 13,165 empleados en China en enero de 2025, frente a 550 empleados en California. También reportaba 8,866 empleados en centros de manufactura chinos y 2,106 en su centro de Vietnam. La empresa sostiene que todos sus productos destinados a EE.UU. se fabrican en Vietnam desde el año pasado, aunque documentos judiciales citados por The Wire indican que su subsidiaria china Lianzhou International seguía fabricando productos para el mercado estadounidense al menos hasta 2021.

La batalla no es solo por hardware, también por confianza

El caso TP-Link mezcla tres frentes que rara vez aparecen juntos en un producto tan común como un router doméstico:

• Seguridad nacional: la FCC argumenta que los routers fabricados en el extranjero pueden crear vulnerabilidades de cadena de suministro y riesgos severos para infraestructura crítica.
• Competencia: una prohibición amplia puede reducir opciones y subir precios si pocos fabricantes logran aprobaciones condicionadas.
• Ciberseguridad real: fabricar en Estados Unidos no resuelve por sí solo problemas como contraseñas débiles, firmware viejo o modelos sin soporte.

En febrero de 2026, Texas demandó a TP-Link Systems. La oficina del fiscal Ken Paxton acusó a la empresa de marketing engañoso y de permitir que el Partido Comunista Chino accediera a dispositivos de consumidores estadounidenses. TP-Link rechazó esas acusaciones, dijo a Reuters que las afirmaciones no tienen mérito y sostuvo que el gobierno chino no tiene propiedad ni control sobre la compañía, sus productos o los datos de usuarios.

La tensión se alimenta de incidentes previos. En mayo de 2023, Check Point Research reportó un implante malicioso de firmware en routers TP-Link vinculado al grupo chino Camaro Dragon. Check Point aclaró que el método de despliegue seguía siendo incierto y que no estaba claro quiénes fueron las víctimas directas del implante.

También hay evidencia de que el problema rebasa a una sola marca. En abril de 2026, el FBI y socios internacionales alertaron que actores rusos del GRU explotaban routers vulnerables, incluidos equipos TP-Link, para robar información sensible mediante secuestro de DNS. TP-Link publicó después una alerta de seguridad sobre CVE-2023-50224 y señaló que varios modelos afectados eran productos legacy, muchos ya fuera de su ciclo estándar de mantenimiento.

El riesgo para los usuarios no desaparece si cambia la etiqueta de país

La medida de la FCC empuja a las empresas a fabricar o ensamblar en Estados Unidos si quieren seguir lanzando nuevos routers al mercado. Para TP-Link, la salida lógica es conseguir una autorización condicionada o acelerar manufactura doméstica.

La pregunta incómoda es si eso basta. Investigadores citados por The Wire China advierten que el origen del ensamblaje no corrige fallas básicas de seguridad. Un router fabricado en Ohio, pero vendido con contraseñas débiles o sin actualizaciones de firmware, puede ser tan explotable como uno producido en Shenzhen.

“El router doméstico, esa cosa que está en la sala de todos, es una de las partes más descuidadas de nuestra postura colectiva de ciberseguridad. Hasta que arreglemos eso, el problema no va a desaparecer, sin importar si la caja fue hecha en China o en Estados Unidos”.

La lectura para México y América Latina es directa. Muchos hogares compran routers por precio, alcance o disponibilidad, no por política de actualizaciones. El caso TP-Link muestra que el equipo más invisible de la casa puede convertirse en infraestructura sensible: conecta celulares, laptops, cámaras, consolas, bocinas inteligentes y, en muchos casos, trabajo remoto.

El desenlace en Washington puede cambiar el mercado estadounidense de routers, pero el problema de fondo seguirá sobre la mesa: sin soporte largo, parches claros y mejores prácticas de seguridad por defecto, el router barato de todos los días seguirá siendo una puerta abierta para atacantes sofisticados y oportunistas.

Fuentes: 1, 2, 3, 4, 5, 6, 7, 8