En octubre de 2016, decenas de millones de usuarios en Estados Unidos y Europa no podían acceder a Twitter, Netflix, Reddit ni Spotify. La causa no fue un error de software ni una tormenta solar: fue una botnet de dispositivos IoT comprometidos que inundó los servidores de Dyn, el proveedor de DNS que sostenía esos servicios, con tráfico de más de 1,2 terabits por segundo. El ataque Mirai no explotó sistemas corporativos sofisticados. Explotó cámaras de seguridad y routers domésticos con contraseñas predeterminadas que nadie había cambiado.

Ese incidente es el mejor resumen del problema de la ciberseguridad en el Internet de las Cosas: un ecosistema de miles de millones de dispositivos conectados, muchos de ellos sin actualizaciones, sin cifrado, sin autenticación real, y con fabricantes que los lanzan al mercado priorizando el precio sobre la seguridad. La realidad es que, según Palo Alto Networks, el 57% de los dispositivos IoT son vulnerables a ataques de severidad media o alta. Y el número de dispositivos conectados alcanzará los 29.000 millones en 2030.

Un ecosistema que creció más rápido que su propia seguridad

Desde dispositivos inteligentes en hogares hasta sistemas de control industrial, el IoT conecta una variedad de hardware que comparte una característica común: fue diseñado para funcionar, no para resistir ataques. Plantas de energía, hospitales, fábricas automatizadas y redes de transporte dependen de combinaciones de Operational Technology (OT) e Industrial Control Systems (ICS) que, al conectarse a redes IP, quedan expuestos a amenazas que sus arquitecturas originales nunca consideraron.

El problema estructural tiene tres dimensiones que se refuerzan entre sí. Primero, la heterogeneidad: los dispositivos varían en capacidad de procesamiento, almacenamiento y seguridad, lo que hace imposible aplicar políticas uniformes. Segundo, el ciclo de vida: muchos equipos operan durante años con firmware sin parches, porque los fabricantes no ofrecen actualizaciones o los administradores no las aplican. Tercero, las credenciales predeterminadas: la mayoría de dispositivos llega al mercado con usuarios y contraseñas que el 80% de los usuarios nunca modifica.

La consecuencia es una superficie de ataque que crece de forma exponencial cada año, y con ella, la complejidad de asegurarla.

Los vectores de ataque más activos en IoT

Los incidentes documentados en los últimos años permiten identificar un patrón claro en cómo los atacantes aprovechan el ecosistema IoT:

• Ataques DDoS mediante botnets: dispositivos comprometidos agrupados para inundar servicios con tráfico masivo. Mirai (2016) y sus variantes siguen siendo activos, reclutando cámaras y routers con credenciales por defecto.
• Intercepción de datos: la transmisión entre dispositivos sin cifrado permite leer o modificar el tráfico en tránsito. Protocolos como MQTT o CoAP, comunes en IoT, son frecuentemente implementados sin TLS.
• Secuestro de dispositivos: acceso no autorizado para incorporarlos a infraestructuras maliciosas o espiar entornos físicos. En 2021, el hackeo de Verkada comprometió 150.000 cámaras de seguridad en hospitales, prisiones y empresas de todo el mundo.
• Inyección de malware: infección de firmware para comprometer la funcionalidad del dispositivo o convertirlo en pivote de lateral movement hacia redes corporativas más críticas.

Seamos claros: ninguno de estos vectores requiere técnicas sofisticadas cuando los dispositivos tienen contraseñas predeterminadas o firmware sin parches de hace tres años. La sofisticación del atacante es secundaria cuando la defensa es nula.

Los desafíos estructurales que los fabricantes ignoran

La gestión de actualizaciones es uno de los problemas más graves y menos discutidos del ecosistema IoT. Muchos dispositivos operan con software obsoleto que contiene vulnerabilidades documentadas públicamente. La distribución y aplicación de parches es complicada por la cantidad y diversidad de equipos en una red, y porque gran parte del hardware de bajo costo no tiene mecanismos automáticos de actualización.

Esto no es opcional ni un detalle técnico menor. Es la diferencia entre un dispositivo que puede ser defendido y uno que se convierte en una carga para toda la red.

La falta de estandarización agrava el problema. Cada fabricante utiliza protocolos y prácticas diferentes, lo que fragmenta la seguridad en entornos donde coexisten decenas de proveedores. La Unión Europea avanza con el Cyber Resilience Act, que exigirá estándares mínimos de seguridad para dispositivos conectados. Pero mientras ese marco se implementa y maduran sus equivalentes en LATAM, la responsabilidad sigue recayendo en los equipos de seguridad de cada organización.

La segmentación de red es una de las respuestas más efectivas ante esta fragmentación. Al dividir la red en subredes diferenciadas para dispositivos IoT, se limita el movimiento lateral de un atacante que logre comprometer un equipo: el radio de daño queda confinado a un segmento, sin acceso directo a activos críticos. Completar esa segmentación con una auditoría continua de vulnerabilidades en toda la infraestructura conectada es el paso que convierte la segmentación en una defensa real, no en una partición administrativa vacía.

Marco de acción: cómo asegurar infraestructuras IoT

La protección efectiva del ecosistema IoT no se resuelve con una sola herramienta. Requiere un enfoque por capas que cubra dispositivos, redes y procesos:

• Cambio inmediato de credenciales predeterminadas: antes de conectar cualquier dispositivo a la red, cambiar usuario y contraseña. Es el control más básico y el más frecuentemente ignorado.
• Cifrado en todas las comunicaciones: asegurar que los protocolos utilizados implementen TLS o equivalentes. Sin cifrado, la intercepción de datos no requiere esfuerzo técnico significativo.
• Gestión estructurada de actualizaciones: establecer un proceso documentado de revisión y aplicación de parches de firmware, con inventario actualizado de todos los dispositivos en red.
• Monitorización continua de comportamiento: supervisar el tráfico de dispositivos IoT para detectar anomalías: un termostato que intenta conectarse a IPs externas no es un error de configuración, es una señal de compromiso.

Adoptar estas medidas de forma sistemática, no como respuesta a un incidente sino como estándar operativo, marca la diferencia entre una infraestructura defendible y una que espera su propio Mirai.

Conclusión: la seguridad IoT no puede seguir siendo una nota a pie de página

El Internet de las Cosas no es el futuro: es el presente de hospitales, plantas industriales y redes logísticas que operan ahora mismo con dispositivos inseguros. Seguir tratando la ciberseguridad IoT como un problema secundario, a resolver después de la conectividad y el costo, es una decisión que tiene consecuencias medibles, en datos exfiltrados, en operaciones paralizadas y, en los casos más graves, en seguridad física comprometida.

La pregunta no es si su organización tiene dispositivos IoT vulnerables. La tiene. La pregunta es qué hace hoy para reducir esa exposición antes de que alguien más la encuentre primero.