El malware IoT convierte tu nevera inteligente, tu cámara de vigilancia o tu termostato conectado en soldados de un ejército zombie. No es ciencia ficción: la botnet Mirai tumbó medio internet en 2016 usando precisamente esos dispositivos inteligentes que compraste para hacerte la vida más cómoda. El hackeo de casas inteligentes ya no requiere a un genio del cibercrimen; basta con escanear la red buscando aparatos con la contraseña de fábrica (spoiler: "admin/admin" sigue siendo la favorita). La seguridad IoT es el agujero que nadie tapa, y los virus en dispositivos inteligentes se propagan más rápido que los rumores en un grupo de WhatsApp del pueblo. Si tienes algo conectado a internet en casa —y lo tienes—, esto te interesa.
Qué es exactamente el malware IoT y por qué debería preocuparte
El malware IoT es código malicioso diseñado específicamente para infectar dispositivos conectados a internet que no son ordenadores ni móviles. Hablamos de cámaras IP, routers domésticos, bombillas inteligentes, asistentes de voz, cerraduras electrónicas, robots aspirador y hasta cafeteras con WiFi. Básicamente, cualquier cacharro con un chip y conexión a la red.
¿Por qué son un objetivo tan jugoso? Porque la mayoría ejecutan versiones reducidas de Linux, tienen recursos limitados para software de seguridad, y sus fabricantes rara vez publican actualizaciones de firmware. Muchos usuarios ni siquiera saben que esos aparatos tienen un sistema operativo. Es como dejar la puerta de casa abierta, pero en versión digital.
El problema se multiplica cuando consideras la escala. A finales de 2025 ya se superaban los 15.000 millones de dispositivos IoT conectados en todo el mundo. Cada uno es un posible punto de entrada. Y a diferencia de tu portátil, donde tienes un antivirus y un firewall, tu bombilla Philips Hue no ejecuta Norton.
Mirai y sus herederos: el zoo del malware IoT
Para entender la amenaza real, hay que conocer a los protagonistas. Mirai marcó un antes y un después en octubre de 2016. Tres estudiantes universitarios crearon un malware que escaneaba internet buscando dispositivos IoT con credenciales por defecto. Infectó aproximadamente 600.000 dispositivos y lanzó un ataque DDoS contra el proveedor DNS Dyn que dejó inaccesibles Twitter, Netflix, Reddit, Spotify y GitHub durante horas. El código fuente se publicó en un foro, y a partir de ahí surgieron decenas de variantes.
Estas son las familias de malware para dispositivos inteligentes más activas:
| Malware | Año | Objetivo principal | Técnica |
|---|---|---|---|
| Mirai | 2016 | Cámaras IP, routers, DVRs | Credenciales por defecto (telnet) |
| BrickerBot | 2017 | Dispositivos IoT Linux | Destrucción permanente (PDoS) |
| VPNFilter | 2018 | Routers SOHO | Exfiltración de datos, man-in-the-middle |
| Mozi | 2019-2023 | Routers, DVRs | Red P2P descentralizada |
| BotenaGo | 2021 | Routers, NAS | Explotación de más de 30 CVEs |
| RapperBot | 2022 | Servidores SSH IoT | Fuerza bruta SSH inteligente |
| AVrecon | 2023 | Routers SOHO | Proxy residencial encubierto |
VPNFilter, atribuido al grupo APT28 (vinculado a inteligencia militar rusa), infectó más de 500.000 routers en 54 países y podía sobrevivir a reinicios del dispositivo. El FBI tuvo que emitir una alerta pública pidiendo a la gente que reiniciara sus routers. Sí, el FBI preocupado por tu router de Movistar.
El caso de Mozi es especialmente interesante: construyó una botnet peer-to-peer sin servidor central, lo que la hacía casi imposible de desmantelar. Las autoridades chinas detuvieron a sus creadores en 2021, pero la botnet siguió funcionando de forma autónoma hasta que en 2023 alguien distribuyó un kill switch que la desactivó gradualmente.
Cómo se infectan tus dispositivos (y por qué es tan fácil)
Los vectores de ataque contra dispositivos IoT son vergonzosamente simples. No estamos hablando de exploits sofisticados de día cero —aunque también los hay—, sino de fallos básicos que la industria se niega a corregir.
- Credenciales por defecto: Mirai probaba una lista de 62 combinaciones de usuario/contraseña. Con eso bastaba para entrar en millones de dispositivos. Muchos fabricantes siguen usando "admin/admin", "root/root" o variantes predecibles como el número de serie.
- Firmware sin actualizar: La vulnerabilidad CVE-2017-17215 en routers Huawei HG532 fue explotada masivamente por la variante Satori de Mirai. El parche existía, pero la mayoría de usuarios nunca actualizaron el firmware.
- Servicios expuestos: Telnet abierto al mundo, interfaces web sin autenticación, puertos UPnP que abren agujeros en el firewall del router automáticamente. Herramientas como Shodan o Censys permiten encontrar estos dispositivos expuestos en segundos.
- Cadena de suministro: Algunos dispositivos baratos (especialmente cámaras IP de marcas blancas chinas) vienen con backdoors de fábrica. No es un bug, es una feature para el servicio técnico remoto que cualquiera puede aprovechar.
Si te preocupan los ataques que explotan vulnerabilidades a nivel de hardware, te recomendamos leer sobre ataques de canal lateral como Spectre y Meltdown, que también afectan a procesadores usados en dispositivos IoT.
Tu casa inteligente: un mapa de vulnerabilidades
Repasemos los dispositivos más comunes en un hogar conectado y su nivel de riesgo real frente al malware IoT:
Router doméstico: La joya de la corona. Controla todo el tráfico de tu red. Si alguien lo compromete, puede interceptar comunicaciones, redirigir DNS (por cierto, configurar DNS cifrado reduce bastante ese riesgo), o usarlo como proxy para actividades ilegales. El malware AVrecon convertía routers en nodos de una red de proxies residenciales que se vendía como servicio.
Cámaras IP y videotimbres: Las favoritas de Mirai y sus variantes. Además del riesgo de ser reclutadas para botnets, un atacante que acceda a tu cámara puede vigilar tu casa, tus horarios, tus rutinas. En 2020, un grupo accedió a más de 50.000 cámaras domésticas y vendió las grabaciones en Telegram.
Asistentes de voz (Alexa, Google Home): Amazon y Google los mantienen razonablemente actualizados, pero procesan audio constantemente. Investigadores han demostrado ataques mediante ultrasonidos inaudibles (DolphinAttack) que dan órdenes al asistente sin que el humano escuche nada. Si te interesa el ecosistema de domótica y dispositivos conectados, conviene entender estos riesgos antes de montar tu hogar inteligente.
Smart TVs: Ejecutan sistemas operativos completos (Android TV, Tizen, webOS) con las mismas vulnerabilidades que cualquier software, pero con ciclos de actualización mucho más lentos. Algunas Smart TVs han sido detectadas enviando capturas de pantalla a servidores del fabricante cada pocos segundos.
Electrodomésticos conectados: Tu nevera Samsung o tu lavadora LG probablemente no las hackee nadie por separado, pero comparten la red WiFi con el resto de dispositivos. Un electrodoméstico comprometido es un punto de pivote para atacar otros equipos de la red.
Protege tu red IoT: guía práctica sin tonterías
Aquí van medidas concretas, ordenadas de más fácil a más técnica. No necesitas ser ingeniero para aplicar las primeras, y las últimas te darán un nivel de seguridad IoT serio.
- Cambia TODAS las contraseñas por defecto. Sí, la de la cámara, la del router, la del NAS, la de la bombilla. Usa contraseñas únicas para cada dispositivo. Un gestor de contraseñas como Bitwarden o KeePass te facilita la vida.
- Actualiza el firmware. Entra en la interfaz de administración de cada dispositivo y busca actualizaciones. Hazlo al menos cada tres meses. Sé que es tedioso. Hazlo igual.
- Desactiva lo que no uses. ¿Telnet? Desactívalo. ¿UPnP? Desactívalo. ¿Acceso remoto al router? Si no lo usas, desactívalo. ¿WPS? Adivina.
- Crea una red WiFi separada para IoT. La mayoría de routers modernos permiten crear una red de invitados. Conecta ahí todos los dispositivos IoT. Así, si comprometen tu cámara, no pueden saltar a tu portátil con el home banking.
- Usa un DNS con filtrado de malware. Configurar DNS como Quad9 (9.9.9.9) o Cloudflare con filtrado (1.1.1.2) en tu router bloquea conexiones a servidores de comando y control conocidos.
- Monitoriza tu red. Herramientas gratuitas como Fing (app móvil) o Nmap te permiten ver qué dispositivos están conectados y qué puertos tienen abiertos. Si ves algo raro, investiga.
- Comprueba si tus dispositivos están expuestos. Busca la IP pública de tu red en Shodan (shodan.io). Si aparecen puertos abiertos o servicios que no reconoces, tienes un problema que resolver ahora.
Y ya que estamos hablando de limpiar y mantener dispositivos a punto, echa un vistazo a nuestra guía de limpieza digital para mantener tus equipos libres de basura innecesaria que también puede ser un vector de ataque.
La normativa europea que los fabricantes no quieren cumplir
La Unión Europea aprobó en 2024 la Cyber Resilience Act (CRA), que obligará a los fabricantes de dispositivos conectados a cumplir requisitos mínimos de ciberseguridad antes de venderlos en Europa. Entrará en vigor de forma progresiva hasta 2027 e incluye obligaciones como:
- Prohibición de contraseñas por defecto universales
- Obligación de proporcionar actualizaciones de seguridad durante todo el ciclo de vida del producto
- Notificación de vulnerabilidades a la ENISA (Agencia Europea de Ciberseguridad) en 24 horas
- Multas de hasta 15 millones de euros o el 2,5% de la facturación global
También está la ETSI EN 303 645, un estándar europeo que define 13 requisitos de seguridad para dispositivos IoT de consumo. Es voluntario por ahora, pero la CRA lo convertirá en la referencia de cumplimiento. Entre sus exigencias: no usar credenciales por defecto, implementar un mecanismo de actualización seguro y minimizar la superficie de ataque expuesta.
¿Cambiará esto las cosas? En parte. Los fabricantes europeos y los que quieran vender aquí tendrán que cumplir. Pero seguirá habiendo millones de dispositivos antiguos sin soporte y aparatos baratos importados que esquivan las normas.
Preguntas frecuentes
¿Puede un dispositivo IoT infectado espiarme en mi propia casa?
Sí. Si un atacante compromete una cámara IP o un asistente de voz, puede acceder al audio y vídeo en tiempo real. Cámaras sin parche o con credenciales por defecto son las más vulnerables. Cubre las que no uses, cambia contraseñas y mantén el firmware actualizado.
¿Cómo sé si alguno de mis dispositivos IoT forma parte de una botnet?
Las señales típicas son: ralentización de la conexión a internet sin motivo aparente, tráfico de red inusual (sobre todo saliente), el dispositivo se reinicia solo o responde con lentitud. Usa Fing o el panel de tu router para detectar tráfico anómalo. Si sospechas, restablece el dispositivo a valores de fábrica, actualiza el firmware y cambia las credenciales antes de reconectarlo.
¿Basta con un buen router para proteger todos mis dispositivos IoT?
Ayuda, pero no es suficiente. Un router con firewall decente y red de invitados separada pone una primera barrera. Pero si el propio dispositivo tiene una backdoor o credenciales por defecto, el router no puede evitar que se comunique con un servidor de comando y control. La seguridad IoT requiere defensa en capas: red segmentada, contraseñas únicas, firmware actualizado y monitorización.
¿Los dispositivos IoT de marcas conocidas son seguros?
Más seguros que las marcas blancas, generalmente sí. Amazon, Google, Apple y similares publican parches con cierta regularidad y tienen equipos de seguridad dedicados. Pero no son inmunes: Ring (Amazon) ha tenido brechas de privacidad documentadas, y Philips Hue tuvo una vulnerabilidad (CVE-2020-6007) que permitía saltar de la bombilla a la red local. Marca conocida no equivale a invulnerable.
¿Qué hago si descubro que mi cámara IP está en Shodan?
Desconéctala de internet inmediatamente. Accede a ella por red local, actualiza el firmware a la última versión, cambia usuario y contraseña, desactiva UPnP en el router y, si puedes, configura acceso solo mediante VPN. Después verifica en Shodan que ya no aparece. Si el fabricante no ofrece actualizaciones, plantéate seriamente sustituir el dispositivo.
El siguiente paso
Abre ahora mismo la app de tu router (o escribe 192.168.1.1 en el navegador), mira la lista de dispositivos conectados y comprueba cuántos tienen la contraseña de fábrica. Cámbiala en cada uno. Si tu router permite crear una red de invitados, hazlo y mueve ahí todos los dispositivos IoT. Son 20 minutos que marcan la diferencia entre una casa conectada y una casa expuesta. Y si quieres saber qué hacer cuando la brecha ya ha ocurrido, revisa nuestra guía sobre qué hacer si tus datos aparecen en una filtración masiva.
