Nuestro compromiso con la seguridad

En TP-Link, la seguridad es un pilar fundamental de nuestra estrategia de producto y de nuestra filosofía corporativa. A lo largo de muchos años, hemos desarrollado y perfeccionado un marco de seguridad integral diseñado para anticipar, identificar y abordar los riesgos de forma rápida y eficaz.

 

Compromiso con productos seguros y datos seguros

La seguridad está integrada en el ciclo de vida de desarrollo de productos de TP-Link. Desde la planificación del producto hasta su lanzamiento y más allá, nuestros equipos de producto integran constantemente medidas de seguridad en las funcionalidades y experiencias de usuario.  Nuestra inversión en seguridad incluye un equipo interno de pruebas de penetración, compuesto por profesionales con experiencia en seguridad de IoT y sistemas embebidos, que lleva a cabo un modelado continuo de amenazas y ataques de simulación en entornos reales. También trabajamos con laboratorios de seguridad acreditados por terceros para analizar nuestros productos y ayudar a identificar, priorizar y resolver con prontitud las posibles vulnerabilidades antes de que afecten a nuestros clientes. Actuamos de forma inmediata y adecuada cuando nuestros equipos de seguridad o investigadores externos identifican problemas, incluso diseñando y publicando parches de seguridad. 

Para garantizar que nuestro código permanezca seguro durante todo el ciclo de desarrollo y no pueda verse comprometido por código malicioso o vulnerabilidades, TP-Link utiliza un proceso continuo y automatizado para la compilación, prueba e implementación de software. Nuestro canal de integración continua/entrega continua (CI/CD) previene vulnerabilidades y puertas traseras garantizando que solo el código validado y autorizado avance en cada etapa.

Nuestro compromiso con la seguridad se centra igualmente en la protección de los datos de los usuarios. Almacenamos los datos de los usuarios en una infraestructura en la nube segura, protegida con protocolos de seguridad reconocidos por el sector. Un equipo de seguridad de la información con sede en EE. UU. supervisa las funciones de seguridad de datos principales en toda TP-Link, y un equipo de operaciones en la nube con sede en EE. UU. controla la seguridad e integridad de los datos de los clientes estadounidenses en la nube.  

Qué significan para nuestros clientes los debates sobre routers en la FCC

TP-Link respalda la seguridad, la calidad y el rendimiento de sus productos de red y cumple plenamente con todos los requisitos regulatorios de EE. UU. La acción de la FCC permite la operación continua de nuestros routers existentes con soporte y actualizaciones continuadas.

TP-Link apoya los esfuerzos para reforzar los estándares de seguridad y está impulsando activamente la Aprobación Condicional para nuevos productos, además de avanzar en planes de fabricación en EE. UU. Los routers TP-Link existentes siguen estando completamente autorizados, con soporte, y continuarán recibiendo actualizaciones periódicas de firmware y seguridad.

 

Evidencia basada en datos de nuestra postura de seguridad

TP-Link está comprometida con ser un referente del sector en materia de seguridad, y podemos demostrar nuestro compromiso a través de nuestro historial de acciones concretas y resultados medibles. Una comparación de datos disponibles públicamente sitúa el historial de seguridad de TP-Link a la par o por delante de otros actores importantes del sector en cuanto a resultados de seguridad para el sistema de puntuación común de vulnerabilidades (CVSS), las vulnerabilidades y exposiciones comunes (CVE) y las vulnerabilidades explotadas conocidas (KEV).

 

Puntuación CVSS

La puntuación CVSS ponderada media de TP-Link —una métrica estándar del sector para medir la gravedad de las vulnerabilidades— se alinea con la de otros fabricantes líderes, según datos de 2024 extraídos de las páginas individuales de proveedores en CVEdetails.com. ¹ Las puntuaciones ponderadas medias de TP-Link y otros fabricantes líderes se muestran en la Figura 1, a continuación:

Figura 1: Puntuación CVSS ponderada media (2024)

 

Postura ante los CVE

Los CVE son identificadores estandarizados para las vulnerabilidades de ciberseguridad notificadas públicamente. El perfil de vulnerabilidades de TP-Link la sitúa en un rango bajo-medio entre sus pares del sector cuando se evalúa tanto por el número de CVE como por su gravedad.

Tal como se muestra en la Figura 2, TP-Link se sitúa junto a ASUS, Zyxel y otras empresas en un rango medio de proveedores.

La distribución de gravedad de TP-Link está equilibrada de forma homogénea entre las categorías Media, Alta y Crítica, de forma coherente con la mayoría de los demás proveedores.

Figura 2: Número de CVE por proveedor, según gravedad (actualizado a 31 de octubre de 2025)

TP-Link tiene como objetivo parchear las vulnerabilidades en un plazo de 90 días tras su validación. TP-Link también publica parches para dispositivos al final de su vida útil en casos graves, una práctica que los competidores no siguen de forma sistemática.

 

Postura ante los KEV

El número de vulnerabilidades KEV listadas de TP-Link también se encuentra en un rango medio, con algunos competidores que muestran cifras significativamente más altas, y TP-Link ha parcheado todas estas vulnerabilidades, excepto una que TP-Link impugna y considera listada de forma incorrecta.

Tal como se muestra en la Figura 3, el número de KEV de TP-Link es similar al de varios competidores, aunque algunos valores atípicos del sector presentan cifras notablemente más altas. Por ejemplo, Zyxel tiene aproximadamente el doble de KEV que TP-Link, y D-Link aproximadamente el doble que Zyxel.

Figura 3: Inclusiones en el KEV de CISA por proveedor (actualizado a 31 de octubre de 2025)

Tal como se muestra en la Figura 4, TP-Link ha proporcionado parches para todas las vulnerabilidades listadas como KEV (excepto una cuya validez está siendo impugnada por TP-Link). Esta práctica no es uniforme en el sector y, en particular, algunos proveedores no publican parches para los KEV asociados a dispositivos al final de su vida útil.

Figura 4: Número de CVE KEV por proveedor y disponibilidad de parche (actualizado a 31 de octubre de 2025)

Las configuraciones predeterminadas de TP-Link no son vulnerables a los exploits listados en el KEV desde Internet en general. Para todas las vulnerabilidades KEV asociadas a productos TP-Link, los usuarios solo estarían expuestos si modificasen manualmente la configuración de seguridad predeterminada de TP-Link. De forma predeterminada, las funciones asociadas a estas vulnerabilidades están completamente desactivadas o restringidas únicamente a la red doméstica local, bloqueando los ataques desde Internet. Para la explotación remota, los usuarios deben habilitar activamente las funciones de gestión remota y exponer la interfaz de administración a Internet. TP-Link advierte explícitamente a los usuarios cuando intentan realizar estos cambios de configuración.

La gran mayoría de los usuarios no ha tomado la decisión deliberada de exponer sus interfaces de administración a Internet y, por tanto, no están en riesgo ante estas vulnerabilidades listadas en el KEV.

 

Compromiso con el diseño seguro y los estándares del sector

TP-Link apoya firmemente las iniciativas de ciberseguridad lideradas por los gobiernos y el desarrollo de estándares del sector. Participamos en el compromiso «Secure by Design» promovido por la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) y respaldamos la propuesta de Ley de Ciberresiliencia (CRA) de la UE. Desde 2022, más de 200 productos TP-Link han obtenido certificaciones de seguridad reconocidas por países como Finlandia, Alemania y Corea del Sur. TP-Link apoya firmemente el desarrollo de estándares de seguridad de producto similares en Estados Unidos y considera que dichos estándares elevarán el nivel de seguridad de referencia para todos.

 

Compromiso con la transparencia 

Para salvaguardar la integridad y autenticidad de los componentes de software y firmware, TP-Link emplea mecanismos aceptados por el sector como la firma de código, la firma binaria y el cifrado. Estas medidas garantizan que cada versión del software pueda verificarse como auténtica y que el software no ha sido alterado ni manipulado. Estas salvaguardas son fundamentales para impedir que los atacantes inserten código malicioso o puertas traseras en los productos en uso.

Para facilitar la auditoría por terceros, tiempos de actualización más rápidos y una visibilidad más clara de los componentes de nuestros productos, TP-Link crea una Lista de materiales de software (SBOM) para cada producto. Las SBOM son inventarios exhaustivos de los componentes de software de un producto y sus orígenes, creados para todas las versiones de lanzamiento del producto en formatos estándar del sector, incluidos los datos de procedencia en el momento de la compilación. Las SBOM crean un registro auditable que permite la validación por terceros de cada componente de un producto TP-Link, lo que posibilita identificar y responder rápidamente a las vulnerabilidades del código. Este proceso está integrado directamente en el flujo de trabajo de lanzamiento para garantizar la precisión y la trazabilidad en cada etapa del desarrollo y la fabricación.

Además, ofrecemos actualizaciones rápidas de firmware y software vinculadas a las vulnerabilidades identificadas en el sitio web cve.org, y publicamos avisos de seguridad detallados cuando resulta apropiado. También publicamos y mantenemos políticas claras de fin de vida útil, garantizando que los clientes comprendan durante cuánto tiempo seguirán recibiendo actualizaciones críticas sus dispositivos antiguos y cómo pueden contribuir a garantizar la seguridad de sus dispositivos.

Dado que TP-Link mantiene plena visibilidad y control sobre su cadena de diseño, desarrollo y producción, la generación y verificación de SBOM están integradas como práctica estándar y no como requisitos regulatorios. Este compromiso voluntario permite una transparencia total sobre los componentes de software y sus orígenes, lo que se traduce en productos más seguros y fiables, con menos vulnerabilidades y tiempos de respuesta ante incidentes de seguridad más rápidos.

 

Participación en la comunidad de seguridad

TP-Link participa activamente en iniciativas de seguridad globales y en la comunidad de ciberseguridad. Somos una Autoridad de Numeración de CVE registrada, lo que significa que asumimos la responsabilidad directa de identificar y divulgar las vulnerabilidades de ciberseguridad que podrían afectar potencialmente a nuestros productos. Colaboramos con socios externos en actividades como las pruebas de seguridad de nuestros productos, programas de recompensa por errores ejecutados en una destacada plataforma del sector y competiciones de hacking como el PWN2OWN de la Zero Day Initiative. TP-Link es un participante activo en iniciativas de seguridad globales y cuenta con un programa proactivo de divulgación de vulnerabilidades. Los investigadores independientes y la comunidad de seguridad pueden comunicarnos posibles problemas en security@tp-link.com.

 

Mejora continua y responsabilidad

Respaldamos nuestras palabras con acciones. Nuestro canal (CI/CD) nos permite detectar problemas de forma más temprana, y los hallazgos de las pruebas de penetración continuas informan directamente nuestras hojas de ruta de producto. Medimos el éxito por la rapidez con la que respondemos a las vulnerabilidades, la eficacia con la que reducimos su volumen global y los comentarios de confianza que recibimos de los clientes. TP-Link supervisa activamente los avances en ciberseguridad a nivel mundial y está preparada para abordar cualquier vulnerabilidad explotada por actores de amenazas persistentes avanzadas de la que tenga conocimiento.

En definitiva, TP-Link se esfuerza por ser un referente en seguridad de IoT y redes, reconociendo al mismo tiempo que la seguridad nunca es definitiva y está en constante evolución. Trabajando con expertos del sector, adoptando las directrices y estándares gubernamentales y manteniendo un enfoque inquebrantable en la mejora, garantizamos que nuestros clientes puedan confiar en nuestros dispositivos, hoy y en el futuro.