El Internet de las Cosas (IoT) conecta dispositivos físicos — sensores, cámaras, termostatos, bombillas, cerraduras, maquinaria industrial — a internet. En 2026, se estima que hay más de 30 mil millones de dispositivos IoT en funcionamiento. El problema de seguridad es masivo: muchos de estos dispositivos tienen recursos limitados (CPU, memoria, batería) que impiden implementar medidas de seguridad tradicionales, y a menudo se despliegan con configuraciones inseguras por defecto que nunca se actualizan.
El NIST IR 8259 define las actividades fundamentales de ciberseguridad que los fabricantes de productos IoT deberían realizar antes de vender sus dispositivos. Sin embargo, la realidad es que la mayoría de los dispositivos en el mercado no cumplen con estas recomendaciones.
1. El Panorama de Amenazas IoT en 2026
Botnets: El Legado de Mirai
Mirai (2016) fue el primer gran aviso. El malware secuestraba dispositivos IoT débiles (cámaras, DVRs, routers) mediante telnet con credenciales por defecto y los utilizaba para lanzar ataques DDoS de hasta 620 Gbps. En 2026, las botnets IoT han evolucionado:
- Mirai y sus variantes: siguen activas, con código fuente disponible públicamente desde 2016
- Mozi: botnet peer-to-peer que utiliza el protocolo DHT (Distributed Hash Table) para comunicación C2 descentralizada, haciendo su takedown mucho más difícil
- Mēris: botnet que explotó una vulnerabilidad en servidores HTTP de dispositivos MikroTik (2019-2021) para alcanzar ataques DDoS de 20+ Tbps
Dato real: Según el informe de Vectra AI 2026, las botnets IoT han alcanzado capacidades de ataque de más de 20 Tbps, utilizando dispositivos comprometidos para ataques DDoS, minado de criptomonedas y como proxy de tráfico C2.
Vulnerabilidades Comunes en Dispositivos IoT
| Vulnerabilidad | Ejemplo real | Impacto |
|---|---|---|
| Credenciales por defecto | admin/admin, root:1234 | Acceso total al dispositivo |
| Falta de cifrado | Comunicación en texto plano | Intercepción y manipulación de datos |
| Sin mecanismo de actualización | Firmware nunca parcheado | Vulnerabilidades conocidas explotables indefinidamente |
| Puertos de depuración abiertos | UART, JTAG sin bloqueo | Extracción de firmware, jailbreak |
| API insegura | Sin autenticación en endpoints IoT | Control remoto no autorizado, exfiltración |
| Almacenamiento inseguro | Claves y tokens en texto plano en flash | Compromiso de credenciales del proveedor cloud |
| Falta de segmentación | Dispositivos IoT en la misma VLAN que servidores críticos | Movimiento lateral desde dispositivo comprometido |
2. Arquitectura de Seguridad para IoT
La seguridad en IoT debe abordarse en tres capas, según la clasificación estándar de la industria:
Capa 1: Percepción (Dispositivos)
Los propios dispositivos son el eslabón más débil. Las limitaciones de recursos imponen compensaciones:
- Arranque seguro (Secure Boot): verificar la firma del firmware en cada arranque para prevenir ejecución de código modificado
- Almacenamiento seguro: usar módulos TPM o Secure Element para almacenar claves criptográficas; nunca en texto plano en flash
- Actualizaciones firmadas: el firmware debe estar firmado criptográficamente y verificado antes de aplicarse
- Deshabilitar puertos de depuración: UART, JTAG y SWD deben estar deshabilitados o bloqueados en producción
Capa 2: Comunicación (Red)
La comunicación es donde ocurren la mayoría de los ataques activos:
- Cifrado extremo a extremo: TLS 1.3 para comunicaciones IP, DTLS 1.3 para UDP, o protocolos de capa de aplicación como MQTT con TLS
- Autenticación mutua: el dispositivo debe autenticar al servidor y viceversa, no solo el dispositivo al servidor
- Segmentación de red: los dispositivos IoT deben estar en una VLAN o subred separada, sin acceso a la red corporativa o doméstica principal
# Ejemplo de segmentación IoT en VLAN
VLAN 10 — Red corporativa (servidores, estaciones de trabajo)
VLAN 20 — Red IoT (cámaras, sensores, termostatos)
Regla: permitir salida a internet solo a servidores específicos
Regla: denegar todo tráfico entrante desde VLAN 10
Regla: denegar todo tráfico entre dispositivos IoT (aislamiento cliente)
- Gestión de ancho de banda: limitar el ancho de banda por dispositivo IoT para mitigar el impacto si un dispositivo es comprometido en una botnet
Capa 3: Aplicación (Backend y Cloud)
El backend que procesa los datos IoT debe ser tan seguro como cualquier servicio cloud:
- API con autenticación y autorización: cada endpoint debe verificar que el dispositivo está autenticado y autorizado para realizar la operación
- Rate limiting: evitar que un dispositivo comprometido inunde el backend con peticiones
- Validación de datos: asumir que todos los datos provenientes de dispositivos IoT son potencialmente maliciosos
- Monitorización de anomalías: detectar patrones de comportamiento inusuales en los dispositivos
3. Protocolos IoT y su Seguridad
| Protocolo | Propósito | Seguridad por defecto | Recomendación |
|---|---|---|---|
| MQTT | Mensajería publicación/suscripción | No cifrado, autenticación básica | Usar MQTT sobre TLS, autenticación con certificados |
| CoAP | REST para dispositivos con recursos limitados | DTLS opcional | Forzar DTLS, usar autenticación mutua |
| HTTP/HTTPS | API REST | HTTPS disponible | Solo HTTPS, nunca HTTP |
| Zigbee | Red de malla para domótica | Cifrado AES-128 opcional | Verificar que el cifrado esté activado, cambiar key por defecto |
| BLE | Comunicación de corto alcance | Cifrado con emparejamiento | Usar LE Secure Connections con MITM protection |
| LoRaWAN | IoT de largo alcance y baja potencia | Cifrado AES-128 (AppSKey, NwkSKey) | Rotar claves periódicamente, usar OTAA no ABP |
4. Ataques Reales a IoT
AirSnitch (2026)
Investigadores de UC Riverside descubrieron una familia de ataques que rompen el aislamiento cliente Wi-Fi, permitiendo a un atacante en la misma red enviar tráfico a otros dispositivos como si fuera el router legítimo. Esto compromete no solo dispositivos IoT domésticos sino también redes empresariales con autenticación RADIUS.
Mitigación: mantener todos los dispositivos actualizados, usar WPA3 con SAE-PK cuando esté disponible, y segmentar la red IoT.
Botnet Mirai (2016 - presente)
El código fuente de Mirai se publicó en 2016 y sigue siendo la base de la mayoría de las botnets IoT activas. Escanea internet en busca de dispositivos con telnet abierto y credenciales por defecto.
Mitigación: cambiar todas las contraseñas por defecto, deshabilitar telnet, usar SSH con autenticación de clave pública, segmentar la red.
Vulnerabilidades en WPA3 SAE (2026)
Un análisis de seguridad formal publicado en EUROCRYPT 2026 identificó un ataque que impide que el protocolo SAE (Simultaneous Authentication of Equals) de WPA3 cumpla con sus garantías de autenticación. Los investigadores propusieron SAEv2 y SAEv3 como correcciones.
Mitigación: mantener los puntos de acceso actualizados con el firmware más reciente, evitar WPA3 transition mode (SAE+PSK) que permite downgrade a WPA2.
5. Defensa en Profundidad para IoT
No hay una bala de plata para la seguridad IoT. La defensa debe ser en capas:
Para Fabricantes (basado en NIST IR 8259)
- Identificar el propósito y contexto de uso del dispositivo
- Identificar las capacidades de ciberseguridad esperadas por los clientes
- Definir los requisitos de ciberseguridad del producto
- Diseñar e implementar las capacidades de ciberseguridad
- Proporcionar información de ciberseguridad a los clientes
- Gestionar la ciberseguridad durante todo el ciclo de vida del producto
Para Usuarios y Administradores
- Cambiar credenciales por defecto inmediatamente después de la instalación
- Segmentar la red IoT en una VLAN separada sin acceso a la red principal
- Deshabilitar servicios innecesarios: UPnP, Telnet, WPS, administración remota si no se usa
- Mantener firmware actualizado: verificar periódicamente actualizaciones del fabricante
- Monitorizar el tráfico de red: detectar patrones de comunicación anómalos (beaconing C2, tráfico a países inusuales)
- Usar un firewall de red que bloquee tráfico saliente no autorizado desde dispositivos IoT
Checklist de Seguridad IoT
Para el hogar
- Cambiar contraseña por defecto de cada dispositivo
- Router con WPA3 (o WPA2 como mínimo), nunca WEP
- Red WiFi separada para dispositivos IoT (SSID de invitado o VLAN)
- Deshabilitar UPnP en el router
- Firmware actualizado de todos los dispositivos
- Deshabilitar acceso remoto si no es estrictamente necesario
- Cubrir cámaras cuando no se usen (prevención física)
Para empresa/industrial
- Dispositivos IoT en VLAN separada sin acceso a red corporativa
- Autenticación mutua (dispositivo ↔ servidor)
- Cifrado TLS 1.3 en todas las comunicaciones
- Política de actualización de firmware documentada
- Inventario actualizado de todos los dispositivos IoT
- Monitorización de tráfico con detección de anomalías
- Plan de respuesta a incidentes que incluya dispositivos IoT
- Evaluación de seguridad de proveedores IoT
Conclusión
La seguridad en IoT no puede ser una ocurrencia tardía. Con más de 30 mil millones de dispositivos conectados y botnets que superan los 20 Tbps, el riesgo es real y crece con cada dispositivo que se conecta sin las mínimas medidas de seguridad. Para los fabricantes, el NIST IR 8259 proporciona una guía clara de responsabilidades. Para los usuarios y administradores, la segmentación de red, el cambio de credenciales por defecto y la monitorización son las tres prácticas que más impacto tienen en la reducción del riesgo. En IoT, asumir que un dispositivo está comprometido y diseñar la red en consecuencia no es pesimismo — es realismo operativo.
Artículos Relacionados
- Seguridad en Redes: Defensa Perimetral — Fundamentos de firewalls, IDS/IPS y segmentación de red con VLANs
- Qué es Zero Trust (Confianza Cero) — Arquitectura de confianza cero para redes con dispositivos IoT
- Nmap: Guía de Escaneo de Redes — Escanea y audita tus dispositivos IoT en la red