En resumen
Muchas empresas certificadas en C-TPAT usan tecnología de marcas baneadas por la FCC y operan sin incidentes. El tema es polémico, se ha escrito mucho y las posturas son encontradas. Lo que sí es un hecho: el ban existe. Lo que le toca al profesional de seguridad es evaluar el riesgo — no ignorarlo ni catastrofizarlo.
Por qué importa
El ban de la FCC es un hecho. Que miles de empresas certificadas usen esa tecnología sin incidentes también es un hecho. Lo que le toca al profesional de seguridad no es elegir un bando — es evaluar el riesgo específico de su operación y documentar esa decisión.
Antes de entrar al tema, hay que decirlo con claridad: miles de empresas en México y Latinoamérica operan con cámaras Hikvision, routers Huawei o equipos Dahua, tienen certificación C-TPAT activa, pasan sus auditorías sin problema y no han tenido ningún incidente relacionado con esa tecnología. Eso es un hecho tan válido como cualquier otro en esta conversación.
También es un hecho que la FCC de Estados Unidos baneó a Huawei, ZTE, Hikvision, Dahua y Hytera de sus redes de comunicación por considerarlos un riesgo inaceptable para la seguridad nacional. Y que la Ley de Inteligencia Nacional de China de 2017 obliga a cualquier organización o ciudadano chino a cooperar con los servicios de inteligencia del Estado cuando se les requiere.
Ambas realidades coexisten. Y esa tensión es exactamente lo que hace que este sea un tema polémico, con posturas encontradas y argumentos legítimos en los dos lados.
Lo que C-TPAT dice — y lo que no dice
C-TPAT no prohíbe explícitamente el uso de tecnología de ninguna marca en particular. Sus criterios de seguridad tecnológica se enfocan en la gestión de accesos, la integridad de los sistemas y la protección de la información sensible de la cadena de suministro. Una empresa puede usar cámaras Hikvision y cumplir perfectamente con esos criterios si tiene los controles adecuados.
Lo que sí existe — y esto es más reciente — es que algunos clientes, especialmente corporativos estadounidenses con operaciones en México, han comenzado a incluir en sus contratos de socio comercial requisitos específicos sobre la tecnología de vigilancia permitida en las instalaciones que manejan su carga. No es C-TPAT quien lo exige. Es el cliente. Y esa es una distinción importante.
El argumento de quienes no ven el riesgo
La postura más común entre profesionales que trabajan con esta tecnología es pragmática: "Llevamos años usándola, nunca hemos tenido un incidente, los auditores de C-TPAT no nos han dicho nada y el costo de reemplazarla sería enorme sin ninguna evidencia concreta de daño." Es un argumento razonable. La ausencia de incidentes documentados es un dato real.
Además, estas marcas han invertido significativamente en programas de ciberseguridad, certificaciones internacionales y auditorías independientes para demostrar que sus productos no representan el riesgo que sus críticos señalan. Ese esfuerzo también es un dato.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El argumento de quienes sí ven el riesgo
La contraparte señala que la ausencia de incidentes conocidos no equivale a ausencia de riesgo. Las vulnerabilidades en infraestructura de vigilancia raramente se detectan hasta que alguien decide explotarlas — y para entonces el daño ya está hecho. El riesgo no es necesariamente un hackeo espectacular: puede ser acceso a patrones de movimiento, rutinas operativas, horarios de carga o información sobre qué se mueve y cuándo.
Para operaciones que manejan carga de alto valor, información sensible o clientes con requisitos contractuales específicos, ese perfil de riesgo merece una evaluación seria, no una descartada por costosa.
Lo que le toca hacer al profesional de seguridad
No catastrofizar ni ignorar. Evaluar. La pregunta no es "¿esta tecnología es mala?" sino "¿qué riesgo específico representa para mi operación, con mi tipo de carga, mis clientes y mis requisitos contractuales?"
- ▸Revisa si alguno de tus clientes actuales o potenciales tiene requisitos contractuales sobre tecnología de vigilancia. Eso convierte el tema de abstracto a concreto.
- ▸Evalúa qué información sensible está expuesta a esa infraestructura: ¿patrones de movimiento de carga de alto valor? ¿Acceso a áreas restringidas? ¿Información de clientes?
- ▸Si decides mantener la tecnología, documenta la evaluación de riesgo que hiciste y los controles compensatorios que implementaste. Eso es gestión de riesgo — no ignorancia.
- ▸Si decides migrar, hazlo con un plan de transición realista, no por pánico. El reemplazo apresurado sin controles adecuados puede crear más riesgo que el que resuelve.
Pasos a la acción
- ▸Audita el inventario de tecnología de tu operación e identifica qué marcas tienes y en qué áreas críticas están instaladas.
- ▸Revisa tus contratos con clientes clave: ¿alguno incluye requisitos sobre tecnología de vigilancia o ciberseguridad de proveedores?
- ▸Haz una evaluación de riesgo documentada — no una opinión, sino un análisis con contexto, controles existentes y decisión justificada. Eso te protege a ti y a tu organización.
Este es un tema donde la industria no tiene consenso. Y eso está bien. Lo que no está bien es no haberlo pensado.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.