Proteger los dispositivos IoT de tu hogar empieza por una regla simple: cambia las contraseñas de fábrica y aísla cada aparato en una red separada. La seguridad smart home no es un lujo para paranoicos. Es lo mínimo cuando tienes una nevera, una bombilla y una cámara conectadas al mismo router que tu banca online. Cada bombilla "inteligente" que enchufas es un ordenador con sistema operativo, y casi siempre uno que nadie volverá a actualizar. El problema con proteger IoT es que el atacante no quiere tu termostato: quiere usarlo como puerta de entrada hacia todo lo demás. Aquí te explicamos, sin humo y sin vendarte nada, cómo conseguir dispositivos inteligentes seguros sin convertirte en administrador de sistemas a tiempo completo.
Por qué tu casa conectada es un objetivo fácil
Un hogar medio europeo ya tiene más de una docena de aparatos conectados. Cámaras, altavoces, enchufes, robots aspiradores, televisores. Cada uno con su propio firmware, su propia app y su propia colección de agujeros.
El caso que lo cambió todo fue Mirai en 2016. Un malware que infectó cientos de miles de cámaras y grabadores IoT usando una lista de contraseñas por defecto. Con esa botnet tumbaron Dyn, un proveedor DNS, y dejaron sin servicio a Twitter, Netflix y Spotify durante horas. La técnica era ridícula: probar usuario admin y contraseña admin. Funcionó millones de veces.
El patrón se repite. Dispositivos baratos, fabricantes que abandonan el soporte a los dos años, y usuarios que enchufan y se olvidan. Un smart home seguro no depende de comprar lo más caro, sino de asumir que cada aparato puede ser comprometido y limitar el daño cuando ocurra.
Segmenta la red: el paso que casi nadie da
La medida más efectiva para la seguridad smart home es separar tus dispositivos IoT del resto. Si tu cámara china acaba infectada, no quieres que tenga línea directa con el portátil donde declaras la renta.
La forma sencilla: crea una red WiFi de invitados en tu router y conecta ahí todos los aparatos inteligentes. La mayoría de routers domésticos modernos lo permiten en dos clics. Los dispositivos siguen funcionando, pero quedan aislados de tus ordenadores y móviles.
La forma avanzada es una VLAN dedicada con reglas de firewall entre segmentos. Es el mismo principio que aplican las empresas, explicado en esta guía sobre segmentación de red para limitar el impacto de un ciberataque. No necesitas un rack profesional: routers como los de la gama prosumer o un firmware tipo OpenWrt te dan VLANs sin gastar una fortuna.
- Red principal: móviles, ordenadores, tablets.
- Red IoT: bombillas, enchufes, electrodomésticos, robots.
- Red de cámaras: si puedes, las cámaras en su propio segmento, sin salida a internet salvo lo imprescindible.
Contraseñas, firmware y la higiene básica que sí importa
Aquí está el grueso del trabajo para conseguir dispositivos inteligentes seguros. Nada de esto es glamuroso, pero es lo que de verdad mueve la aguja.
Cambia todas las credenciales por defecto. Cada cámara, cada grabador, cada panel de administración. Si el aparato no te deja cambiar la contraseña, devuélvelo. Es la lección directa de Mirai y sigue siendo el vector número uno.
Actualiza el firmware. Muchos fabricantes publican parches para vulnerabilidades conocidas. Por ejemplo, en cámaras Hikvision se documentó la CVE-2021-36260, un fallo de inyección de comandos que permitía control total del dispositivo sin autenticación. Solo se cerraba actualizando. Activa las actualizaciones automáticas donde existan y revisa el resto cada pocos meses.
Activa la autenticación en dos pasos en las apps que controlan tus aparatos. Si la cuenta de la app cae, da igual lo bien configurado que esté el hardware.
Apaga lo que no uses. UPnP en el router, acceso remoto que no necesitas, puertos abiertos hacia internet. Cada función activa es una superficie de ataque más. Y revisa si alguno de tus correos asociados a estas cuentas apareció en alguna filtración usando Have I Been Pwned.
| Dispositivo | Riesgo principal | Acción prioritaria |
|---|---|---|
| Cámaras IP | Acceso remoto sin cifrar | Contraseña fuerte + firmware al día + red aislada |
| Altavoces inteligentes | Escucha y grabación | Revisar historial de voz y permisos |
| Enchufes y bombillas | Pivote hacia la red | Red de invitados separada |
| Robot aspirador | Mapas de tu casa en la nube | Limitar permisos de la app |
Altavoces y cámaras: privacidad además de seguridad
Un smart home seguro también significa que los aparatos no espíen más de lo necesario. Los altavoces inteligentes escuchan en bucle esperando la palabra de activación, y a veces se activan solos. Conviene revisar y borrar el historial de voz, y desactivar el guardado de grabaciones cuando la marca lo permita. Tienes el detalle en esta guía sobre qué escuchan Alexa y Google Home y cómo limitarlo.
Con las cámaras, el riesgo doble es claro: alguien que las vulnera ve tu salón, y muchas suben vídeo a servidores externos por defecto. Prioriza modelos con almacenamiento local y revisa qué datos salen de tu red. El RGPD te ampara para exigir a cualquier fabricante que opere en la UE información sobre qué recopila y para qué, bajo el principio de minimización de datos: solo deberían pedir lo estrictamente necesario para funcionar.
Vigila también el Bluetooth. Muchos dispositivos domésticos lo usan para el emparejamiento inicial y lo dejan activo, expuesto a técnicas como las descritas en este artículo sobre bluesnarfing y ataques Bluetooth. Si no lo usas, apágalo.
Vigilancia: saber cuándo algo va mal
Para proteger IoT de verdad, ayuda detectar comportamiento raro: una bombilla que de repente manda tráfico a un servidor en otro continente, por ejemplo.
A nivel doméstico hay herramientas accesibles. Apps como Fing te muestran todo lo conectado a tu red y avisan de dispositivos nuevos. Si quieres ir más allá, un sistema de detección de intrusos open source como Snort IDS puede analizar el tráfico de tu red de IoT y alertar de patrones sospechosos. Y antes de instalar cualquier app de control, una pasada por VirusTotal con el archivo no sobra.
Si te interesa montar esto a nivel de instalación completa, en portales como DomóticaYa encontrarás guías de integración, y para el lado más práctico de cableado y montaje, HerramientasTaller cubre el hardware.
Preguntas frecuentes
¿Es realmente necesario aislar los dispositivos IoT en otra red?
Sí, es la medida con mejor relación esfuerzo-beneficio. Si un aparato barato queda comprometido, la segmentación impide que alcance tus ordenadores y datos sensibles. Una red de invitados separada ya cubre la mayoría de hogares.
¿Cómo sé si mi cámara o router ha sido hackeado?
Señales típicas: rendimiento lento, dispositivos desconocidos en la red, configuraciones que cambian solas o tráfico inusual hacia direcciones extrañas. Apps como Fing y revisar los logs del router ayudan a detectarlo.
¿Los dispositivos IoT baratos son siempre inseguros?
No siempre, pero el riesgo es mayor: suelen recibir menos actualizaciones y abandonarse antes. Lo decisivo no es el precio sino que el fabricante publique parches y permita cambiar las credenciales por defecto.
¿Qué hago con un dispositivo que ya no recibe actualizaciones?
Aíslalo al máximo en su propia red, córtale el acceso a internet si no lo necesita, o sustitúyelo. Un aparato sin soporte acumula vulnerabilidades sin parchear y se convierte en el eslabón débil.
¿El RGPD me protege frente a los datos que recogen estos aparatos?
Sí, si el fabricante opera en la UE. Puedes exigir saber qué datos recopila, para qué y solicitar su borrado. El principio de minimización obliga a recoger solo lo imprescindible para el servicio.
El siguiente paso
Entra ahora en la configuración de tu router, crea una red WiFi de invitados y mueve ahí todos tus dispositivos inteligentes. Quince minutos de trabajo que aíslan tu IoT del resto de tu vida digital. Cuando lo tengas, sigue explorando el blog: el spyware y los ataques man-in-the-middle son las siguientes piezas del puzle para blindar tu casa conectada.
