Los dispositivos IoT pueden ser vulnerables a ataques cibernéticos porque muchos se diseñaron priorizando la funcionalidad sobre la seguridad, dejando puertas abiertas para personas con malas intenciones.
Una cámara que no era tan privada
Era martes por la tarde en una colonia de Guadalajara. Sofía acababa de instalar una cámara IP barata para vigilar a su perro mientras trabajaba. La cámara funcionaba perfecto: podía verlo desde su celular en cualquier momento. Lo que Sofía no sabía era que esa misma cámara estaba siendo vista también por extraños en internet. La contraseña de fábrica nunca había sido cambiada. Cualquier persona con el enlace correcto podía entrar.
Esto no es un caso aislado. Según investigadores de ciberseguridad, más del 57% de los dispositivos IoT en el mundo tienen vulnerabilidades de nivel medio o alto. En México, donde la adopción de gadgets conectados creció más del 30% entre 2021 y 2023, el riesgo es real y cotidiano.
Por qué los dispositivos IoT son un blanco fácil
Los dispositivos IoT tienen características que los hacen especialmente atractivos para los atacantes. Primero, son muchos: una casa con diez focos inteligentes, un termostato, una cerradura y dos cámaras ya tiene trece puntos de entrada posibles. Segundo, casi nadie los actualiza. A diferencia de tu computadora o celular, la mayoría de las personas jamás instala actualizaciones en su router, cámara o timbre inteligente.
El tercer problema es el más profundo. Muchos fabricantes, especialmente los de productos económicos, envían sus dispositivos con contraseñas genéricas como "admin" o "1234". Estas contraseñas son públicas y están documentadas en foros de internet. Un atacante no necesita ser un genio: solo necesita conocer el modelo del dispositivo y buscar su contraseña predeterminada.
Hay un cuarto factor que pocas personas consideran: los dispositivos IoT raramente tienen pantalla ni teclado. Eso los hace invisibles en nuestra mente de seguridad. No los pensamos como computadoras, aunque técnicamente lo son.
Los ataques más comunes en redes IoT
Existen tres tipos de ataque que afectan con mayor frecuencia a los dispositivos conectados en México.
El primero es el acceso no autorizado. Ocurre exactamente como en el caso de Sofía: alguien entra al dispositivo usando credenciales predeterminadas o débiles. Una vez adentro, puede ver cámaras, escuchar micrófonos o controlar cerraduras y termostatos.
El segundo se llama ataque de botnet. Aquí el objetivo no es espiarte directamente. El atacante toma control de miles de dispositivos vulnerables, los convierte en una red de "robots" y los usa para atacar otros sistemas. En 2016, el ataque Mirai usó cámaras y routers domésticos para derribar servicios de internet en varios países. Muchos de esos dispositivos pertenecían a personas comunes que nunca se enteraron de que sus gadgets participaron en el ataque.
El tercero es la intercepción de datos, también llamada ataque de intermediario o "man in the middle". Si los datos que envía tu sensor de temperatura o tu báscula inteligente no viajan cifrados, alguien en la misma red puede capturarlos y modificarlos. En un contexto doméstico parece trivial. Pero imagina ese riesgo en una bodega de FEMSA donde sensores IoT monitorean cadenas de frío con productos valuados en millones de pesos.
El costo real de ignorar la seguridad
En 2022, el costo promedio de una brecha de seguridad en empresas medianas de América Latina fue de aproximadamente $4,350,000. Ese número incluye investigación forense, tiempo de inactividad, pérdida de clientes y multas regulatorias. Para una PyME mexicana con ventas anuales de $8,000,000, eso puede ser devastador.
A nivel personal, el costo es diferente pero igualmente serio. Una cámara hackeada puede exponer la privacidad de tu familia. Una cerradura inteligente comprometida puede facilitar un robo. Un router vulnerado puede convertir toda tu red doméstica en un punto de espionaje.
Lo irónico es que la mayoría de estos ataques se previenen con medidas simples y gratuitas. El problema no es la tecnología: es el hábito.
Cómo proteger tus dispositivos IoT paso a paso
La buena noticia es que protegerte no requiere ser experto en sistemas. Requiere constancia y atención a cuatro áreas clave.
Cambia las contraseñas desde el primer día. Cuando compres cualquier dispositivo IoT, lo primero que debes hacer es entrar a su configuración y cambiar la contraseña. Usa una combinación de letras, números y símbolos. "Sofía2024@casa" es infinitamente mejor que "admin". Esta acción sola elimina la mayoría de los ataques automatizados.
Crea una red separada para tus dispositivos IoT. La mayoría de los routers modernos permiten crear una red de invitados (guest network). Conecta ahí todos tus dispositivos IoT: cámaras, focos, termostatos, televisores inteligentes. Así, si uno de ellos es comprometido, el atacante no tendrá acceso directo a tu computadora o celular. Esta separación se llama segmentación de red y es una práctica estándar en empresas como Liverpool para proteger sus sistemas de punto de venta.
Actualiza el firmware regularmente. El firmware es el sistema operativo interno de tu dispositivo. Los fabricantes lanzan actualizaciones para cerrar vulnerabilidades conocidas. Entra a la aplicación o panel de tu dispositivo cada dos o tres meses y revisa si hay actualizaciones disponibles. Si el fabricante ya no lanza actualizaciones para un modelo antiguo, considera reemplazarlo.
Desactiva funciones que no usas. Muchos dispositivos IoT tienen activadas funciones de acceso remoto por defecto, aunque nunca las uses. Si no necesitas controlar tu cámara desde fuera de casa, desactiva el acceso remoto. Menos funciones activas significan menos puntos de entrada para un ataque.
Revisa los permisos de las aplicaciones. La app que controla tu dispositivo IoT probablemente pide acceso a tu ubicación, contactos y micrófono. Revisa esos permisos en tu celular y elimina los que no sean necesarios para el funcionamiento básico del dispositivo.
Lo que hacen las empresas grandes y tú puedes imitar
Bimbo y FEMSA no dependen solo del sentido común para proteger sus redes IoT industriales. Usan tres prácticas que tú puedes adaptar a escala doméstica o de pequeño negocio.
Primero, tienen un inventario de todos sus dispositivos conectados. Saben exactamente cuántos hay, dónde están y qué versión de software usan. Tú puedes hacer lo mismo con una hoja de cálculo simple: nombre del dispositivo, ubicación, fecha de instalación, última actualización y contraseña (guardada en un gestor de contraseñas, no en texto simple).
Segundo, monitorean el tráfico inusual en su red. Si un sensor que normalmente envía 10 mensajes por hora de repente envía 10,000, algo está mal. Aplicaciones gratuitas como Fing te permiten ver todos los dispositivos en tu red doméstica y detectar comportamientos extraños.
Tercero, tienen un plan de respuesta. Saben qué hacer si un dispositivo es comprometido: desconectarlo, cambiar credenciales y notificar al área correspondiente. Tú también puedes tener ese plan: si sospechas que algo en tu red fue atacado, desconéctalo, cambia las contraseñas de tu red Wi-Fi y revisa los accesos recientes en tus aplicaciones.
El regreso de Sofía
Sofía descubrió el problema cuando un amigo que trabaja en soporte técnico visitó su casa y revisó la configuración de su router por curiosidad. En cinco minutos encontró la cámara con acceso público y le mostró cómo cerrarla. Sofía cambió la contraseña, activó el cifrado en la transmisión de video y conectó la cámara a una red separada.
Hoy su perro sigue siendo vigilado. Pero ahora solo por ella.
La seguridad en el IoT no es un problema técnico que requiere un ingeniero. Es un problema de hábitos. Y los hábitos se pueden cambiar desde hoy, con los dispositivos que ya tienes en casa.