En la Opinión 8/2014, sobre la evolución reciente del Internet de los objetos, elaborada por el Grupo de Trabajo del Artículo 29 (predecesor del Comité Europeo de Protección de Datos), se define el concepto de «Internet de las cosas» (IoT) como aquella «infraestructura en la que miles de millones de sensores incorporados a dispositivos comunes y cotidianos registran, someten a tratamiento, almacenan y transfieren datos y, al estar asociados a identificadores únicos, interactúan con otros dispositivos o sistemas haciendo uso de sus capacidades de conexión en red». El IoT no se limita a la comunicación entre dispositivos; va más allá, abriendo paso a una relación máquina–humano cada vez más integrada, donde los objetos cotidianos adquieren inteligencia contextual y predictiva.
Un ejemplo: las neveras inteligentes serán capaces de hacernos la compra a partir de una lista de productos predeterminados. La nevera detectará que esos productos ya no están disponibles y a través de la central de compras de nuestro supermercado de referencia hará un pedido, que llegará directamente a casa, previo cargo en nuestra tarjeta de crédito o carteras digitales vinculadas. Cómodo, ¿verdad? El problema son los interrogantes éticos sobre la autonomía del usuario y la dependencia tecnológica.
Pongamos por caso que padecemos diabetes y que, en nuestra lista de productos predeterminados, figuran artículos azucarados. Ahora imaginemos que dicha lista se almacena en la nube del fabricante de la nevera y que este puede vender esos datos, por ejemplo, a compañías aseguradoras. ¿Qué ocurriría si nuestro seguro médico accediera a esa información y concluyera que nuestra dieta no es saludable? ¿Nos subirían la prima en la próxima renovación? ¿No nos renovarían la póliza? Casos como este ya se han dado en Estados Unidos, donde los datos compartidos por dispositivos como Fitbit con aseguradoras han llevado a aumentos en las primas o a denegaciones de cobertura.
Otro ejemplo: nuestro coche dispone de un asistente avanzado, como los de Tesla Autopilot. No solo ajusta el volumen de la radio y regula la temperatura del habitáculo, sino que también es capaz de programar nuestras rutas. Entre otros datos, el asistente guarda un registro de la velocidad a la que circulamos. Pongamos que esos datos son comprados por nuestra compañía aseguradora. Si no hemos cumplido escrupulosamente las velocidades máximas establecidas por la normativa de tráfico, el algoritmo de nuestra aseguradora puede decidir no renovarnos, incluso puede comunicar nuestros datos a otras compañías. Sin seguro no se puede circular, de forma que nuestros derechos y libertades se verían coartados, aun siendo conductores precavidos y sin siniestros.
La preocupación por la seguridad de los dispositivos IoT es constante. La posibilidad de conectarse de forma remota ofrece grandes ventajas, pero también expone los equipos a intentos de acceso no autorizados. Los ciberatacantes suelen comenzar utilizando herramientas automatizadas para escanear dispositivos IoT con direcciones IP públicas o contraseñas predeterminadas o débiles. Un ejemplo destacable es el botnet Mirai, que en 2016 infectó millones de cámaras de vigilancia IP y grabadoras DVR con credenciales vulnerables, permitiendo el espionaje masivo y la ejecución de ataques DDoS a gran escala, como el que afectó a servicios de Dyn. Variantes recientes de Mirai continúan explotando vulnerabilidades en cámaras IP, routers y otros dispositivos IoT para realizar ataques DDoS y labores de espionaje, según informes de Palo Alto Networks.
Un vector de ataque común de los aparatos conectados es la conexión a Internet. Los ciberatacantes utilizan programas para monitorizar y analizar el tráfico de la red wifi, rompen la seguridad de la red e interceptan las comunicaciones con ataques man-in-the-middle (MITM). Apagar la conexión wifi o bluetooth si no están utilizando los dispositivos y utilizar una red independiente pueden evitarles algún disgusto.
Otra vulnerabilidad crítica es el software desactualizado. Por ejemplo, los dispositivos Android anteriores a la versión 14 sufren exploits como variantes de «Strandhogg 2.0.» que permite el secuestro de apps.
Conclusión
Zscaler ThreatLabz, el centro de investigación de Zscaler, ha publicado el informe Zscaler ThreatLabz 2025 Mobile, IoT & OT Threat Report, en el que revela un aumento significativo en los ataques de malware dirigidos a dispositivos IoT, con un 67 % en malware móvil. La industria manufacturera, la educación y las infraestructuras críticas (como energía y salud) son los sectores más atacados, con un incremento de casi el 1.000 % en algunos vectores, impulsados por botnets y ransomware en entornos híbridos.
Como usuarios, debemos adoptar una serie de cautelas para limitar las vulnerabilidades de los dispositivos conectados a Internet, por ejemplo:
- Comprar solo en tiendas confiables.
- Optar por dispositivos de última generación y comprobar que el fabricante se compromete a realizar actualizaciones periódicas del sistema operativo.
- Configurar correctamente los dispositivos, adoptando las medidas de seguridad disponibles.
- Cambiar el nombre de red (SSID) y la contraseña de fábrica por otra robusta y activar el cifrado de la red inalámbrica WPA3.
Los fabricantes deben producir dispositivos seguros con evaluaciones de riesgos en cada etapa del diseño y seguimiento una vez que estén en el mercado, bajo la nueva Directiva de Ciberseguridad de la UE (NIS2).
Para concluir, quiero compartir una interesantísima conferencia sobre los peligros del Internet de las cosas pronunciada por el Profesor Cuauhtemoc Vélez Martínez en la Universidad Nacional Autónoma de México. Si pueden no pierdan la oportunidad de verla.
No se pierda nuestro podcast sobre el artículo
