Tienes bombillas WiFi, un termostato inteligente, una aspiradora robot, un timbre con cámara, enchufes conectados y quizá un asistente de voz. Cada uno de esos dispositivos es un pequeño ordenador con conexión a internet, y la mayoría fueron diseñados priorizando funcionalidad y precio, no seguridad. Un informe de Palo Alto Networks de 2024 reveló que el 57 % de los dispositivos IoT tienen vulnerabilidades conocidas que los fabricantes nunca parchearon. Tras configurar más de 30 dispositivos inteligentes en mi hogar y haber sufrido un intento de acceso no autorizado a una cámara IP, tomo la seguridad IoT muy en serio.
Lo esencial: los dispositivos IoT baratos son el eslabón más débil de tu red doméstica. Un atacante que comprometa tu bombilla WiFi de 8 euros puede pivotar a tu red principal y acceder a tu PC o NAS. Las medidas básicas —cambiar contraseñas por defecto, actualizar firmware, crear una red WiFi separada para IoT y desactivar funciones que no uses— bloquean la mayoría de ataques.
Por qué el IoT es inseguro
Los fabricantes de IoT operan con márgenes minúsculos. Una bombilla WiFi de 8 euros no tiene presupuesto para equipo de seguridad, auditorías de código ni actualizaciones regulares de firmware. El procesador es mínimo (ESP8266 o similar), la memoria RAM escasa (64-128 KB) y el sistema operativo es un RTOS (Real-Time Operating System) sin las protecciones de un Linux o Windows moderno.
El resultado: contraseñas por defecto que nunca se cambian («admin/admin» es universal), comunicaciones sin cifrar entre dispositivo y nube (tus datos viajan en texto plano), puertos abiertos innecesarios, firmware con vulnerabilidades conocidas sin parchear, y APIs en la nube del fabricante con seguridad deficiente.
El ataque más famoso a IoT fue la botnet Mirai (2016), que infectó más de 600.000 cámaras IP y routers con contraseñas por defecto, y los usó para lanzar el mayor ataque DDoS de la historia (contra Dyn, dejando sin servicio a Twitter, Netflix, Reddit y Spotify). Las variantes de Mirai siguen activas en 2026.
Red separada: la medida más efectiva
Crear una red WiFi separada para dispositivos IoT es la acción de seguridad con mayor impacto. Si un atacante compromete tu bombilla WiFi, solo accede a la red de bombillas, enchufes y aspiradoras, no a tu PC con documentos bancarios ni a tu NAS con fotos familiares.
La mayoría de routers modernos soportan redes de invitados (que aíslan dispositivos) o VLANs (segmentación de red más avanzada). La configuración más sencilla: crea una red de invitados (Ajustes del router > Guest Network) y conecta todos los dispositivos IoT ahí. Conecta tus dispositivos «de confianza» (PC, móvil, NAS) a la red principal. Nuestra guía para proteger tu router paso a paso con los 8 ajustes imprescindibles explica cómo hacerlo.
Para quienes quieren más control, Home Assistant con VLAN y firewall permite crear reglas que impiden que los dispositivos IoT se comuniquen entre sí o con internet excepto para funciones específicas. Nuestra guía para empezar con domótica y casa inteligente desde cero cubre la configuración.
Las 7 reglas de seguridad IoT
1. Cambia SIEMPRE la contraseña por defecto. Lo primero al configurar cualquier dispositivo. Si el dispositivo no permite cambiar la contraseña, no lo compres.
2. Actualiza el firmware. Comprueba actualizaciones mensuales. Si el dispositivo no ha recibido actualización en más de un año, considera reemplazarlo por uno de un fabricante que mantenga actualizaciones.
3. Desactiva funciones que no uses. Si tu cámara tiene acceso remoto y no lo necesitas, desactívalo. Cada función activa es una superficie de ataque adicional. El protocolo UPnP (Universal Plug and Play) es especialmente peligroso: abre puertos automáticamente en tu router sin tu conocimiento. Desactívalo en el router.
4. Compra marcas con historial de seguridad. Tuya, Philips Hue, Aqara, Ring, TP-Link Kasa, Google Nest y Apple HomeKit son fabricantes que publican actualizaciones regulares. Marcas genéricas sin nombre de AliExpress pueden funcionar pero no esperes parches de seguridad.
5. Usa protocolos locales cuando sea posible. Zigbee, Z-Wave y Thread/Matter funcionan localmente sin depender de la nube del fabricante. Si el fabricante cierra o sus servidores son hackeados, tus dispositivos siguen funcionando.
6. Monitoriza el tráfico de red. Herramientas como Pi-hole o el dashboard de tu router muestran qué dispositivos se comunican y con qué servidores. Si tu bombilla WiFi está enviando datos a una IP desconocida a las 3 AM, hay un problema.
7. Audita periódicamente. Cada 3 meses, revisa la lista de dispositivos conectados a tu red, elimina los que no usas (desconéctalos o resétealos de fábrica) y comprueba si hay actualizaciones pendientes.
Matter y Thread: el futuro más seguro
El estándar Matter (lanzado en 2022, adoptado por Apple, Google, Amazon y Samsung) busca resolver los problemas de seguridad e interoperabilidad del IoT. Matter requiere cifrado AES-128 para todas las comunicaciones, certificación de seguridad para cada dispositivo, y funciona sobre Thread (protocolo mesh local que no necesita WiFi ni nube).
En 2026, la adopción de Matter está creciendo: más de 2.000 dispositivos certificados. Nuestra guía sobre Matter, Thread y compatibilidad en la casa inteligente explica las implicaciones prácticas.
Mi valoración
La seguridad IoT es el gran agujero negro de la ciberseguridad doméstica. Gastamos tiempo y dinero en antivirus, contraseñas y VPN, pero dejamos 15 dispositivos IoT con contraseñas por defecto y firmware de 2022 conectados a la misma red que nuestro PC de trabajo. La buena noticia: las medidas de protección son sencillas y gratuitas. La red separada lleva 10 minutos de configuración. Cambiar contraseñas, otros 20. Y desactivar UPnP, 2 minutos. Ese esfuerzo de media hora cierra la puerta a la mayoría de ataques. Estándares como Matter son prometedores, pero hasta que la adopción sea universal, la responsabilidad de la seguridad IoT sigue siendo del usuario.
Preguntas frecuentes
¿Puede un hacker encender mi cámara sin que yo lo sepa?
Si la cámara tiene vulnerabilidades no parcheadas y está expuesta a internet (puerto abierto, UPnP activo, contraseña por defecto), sí. Casos documentados de acceso no autorizado a cámaras Wyze, Ring y Eufy han sido noticia en años recientes. Las medidas para prevenirlo: contraseña fuerte, firmware actualizado, autenticación de dos factores si la cámara lo soporta, y desactivar acceso remoto si no lo necesitas.
¿Los dispositivos HomeKit de Apple son más seguros?
Sí, HomeKit tiene los requisitos de seguridad más estrictos del mercado: cifrado extremo a extremo obligatorio, procesamiento local siempre que sea posible, y certificación MFi que incluye auditoría de seguridad. La limitación es el precio (los dispositivos HomeKit suelen costar un 20-40 % más que equivalentes genéricos) y el catálogo más reducido. Si la seguridad es prioridad, HomeKit o Matter son las opciones más robustas.
☞ El artículo completo original de Juan Diego Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario