La cerradura inteligente que dejó la puerta abierta

Imaginá que ponés una cerradura "inteligente" en la puerta de tu empresa. Se abre con una app, te notifica cuando alguien entra, y hasta podés dar acceso temporal a visitantes. Suena genial. Pero lo que nadie te dijo es que esa cerradura viene con la contraseña "admin/admin" de fábrica, que el fabricante dejó de sacar actualizaciones hace dos años, y que cualquier persona con conocimientos básicos puede abrirla desde Internet. Felicidades: gastaste en una cerradura cara que es más fácil de abrir que una convencional. Eso es exactamente lo que pasa con la mayoría de dispositivos IoT en las oficinas centroamericanas.

Y no estamos hablando de un problema menor. Según Statista, para 2025 hay más de 75 mil millones de dispositivos IoT conectados en el mundo. En una oficina promedio, entre cámaras de seguridad, impresoras de red, smart TVs, termostatos inteligentes y sensores, fácilmente hay entre 15 y 30 dispositivos conectados a la red. ¿Cuántos de esos tiene mapeados tu departamento de TI?

¿Qué es el IoT y por qué está en tu oficina?

IoT significa Internet of Things (Internet de las Cosas). Es un término que agrupa a todos los dispositivos físicos que se conectan a Internet o a una red para enviar y recibir datos. No son computadoras ni celulares: son los "otros" dispositivos.

En una oficina típica centroamericana, el IoT incluye:

•Cámaras de seguridad IP: (Hikvision, Dahua, TP-Link, y muchas marcas genéricas)

•Impresoras y escáneres de red: (HP, Epson, Brother conectadas por Wi-Fi)

•Routers y access points: (los que dan Wi-Fi a la oficina)

•Smart TVs: en salas de reuniones para presentaciones

•Sistemas de control de acceso: con tarjetas o biométricos

•Asistentes de voz: (Alexa, Google Home en algunas oficinas)

•Termostatos y sistemas de aire acondicionado inteligentes

•Sistemas de punto de venta (POS): en comercios

•Sensores de humo o inundación conectados

•UPS inteligentes: con monitoreo remoto

Todos estos dispositivos tienen algo en común: están conectados a la misma red donde viajan los datos sensibles de tu empresa. Y la mayoría fueron instalados pensando en funcionalidad, no en seguridad.

¿Por qué los dispositivos IoT son tan vulnerables?

Los dispositivos IoT tienen características que los hacen especialmente atractivos para los atacantes:

1. Contraseñas por defecto que nadie cambia

Este es el pecado original del IoT. La mayoría de dispositivos vienen con credenciales como "admin/admin", "admin/1234" o "root/root". Y en la práctica, casi nadie las cambia. El técnico que instaló las cámaras las dejó con la contraseña de fábrica, la impresora se configuró con las credenciales que traía, y el router del ISP sigue con la clave que venía en la etiqueta.

Existen bases de datos públicas como Shodan (el "Google de los dispositivos conectados") donde cualquiera puede buscar dispositivos expuestos a Internet. Un atacante no necesita ser un genio: solo busca cámaras Hikvision en Costa Rica y prueba las contraseñas por defecto.

2. Firmware desactualizado sin parches de seguridad

A diferencia de tu computadora, que recibe actualizaciones automáticas, los dispositivos IoT rara vez se actualizan. Muchos fabricantes, especialmente los de marcas económicas, dejan de publicar actualizaciones pocos meses después de lanzar el producto. Las vulnerabilidades se acumulan y nunca se corrigen.

3. Capacidad limitada de procesamiento

Los dispositivos IoT están diseñados para ser baratos y eficientes. Eso significa que tienen procesadores pequeños y poca memoria. No pueden correr antivirus, firewalls avanzados ni herramientas de monitoreo. Son como casas sin cerraduras: fueron diseñados para funcionar, no para defenderse.

4. Protocolos de comunicación inseguros

Muchos dispositivos IoT transmiten datos sin cifrar. Eso significa que alguien en la misma red puede interceptar las transmisiones de tus cámaras, ver qué se imprime, o capturar las credenciales que los dispositivos envían.

5. Acceso remoto habilitado por defecto

Para facilitar la configuración, muchos dispositivos vienen con acceso remoto habilitado. Eso significa que están accesibles desde Internet, a veces sin que el dueño lo sepa.

El caso Mirai: cuando las cámaras tumbaron Internet

En octubre de 2016, algo insólito pasó: gran parte de Internet en Estados Unidos se cayó. Twitter, Netflix, Spotify, Reddit, GitHub y decenas de servicios dejaron de funcionar durante horas. ¿La causa? Cámaras de seguridad y routers.

Un malware llamado Mirai había infectado más de 600,000 dispositivos IoT en todo el mundo, la mayoría cámaras de seguridad y routers domésticos con contraseñas por defecto. Los atacantes usaron este ejército de dispositivos para lanzar un ataque DDoS masivo contra Dyn, un proveedor de DNS que gestionaba las direcciones de muchos sitios populares.

Mirai no hackeó computadoras ni servidores sofisticados. Simplemente probó 61 combinaciones de usuario y contraseña por defecto en dispositivos IoT. Con eso bastó para reclutar más de medio millón de dispositivos.

Lo aterrador: el código de Mirai fue publicado y desde entonces han aparecido docenas de variantes que siguen activas. En 2024 y 2025, botnets basadas en Mirai siguieron siendo una de las amenazas más detectadas a nivel global.

¿Y qué tiene que ver esto con tu oficina en San José?

Mucho. Si tus cámaras de seguridad tienen contraseñas por defecto y están accesibles desde Internet, podrían ser parte de una botnet ahora mismo sin que lo sepás. Tu ancho de banda se consume, tus dispositivos se degradan, y encima estás contribuyendo involuntariamente a ataques contra terceros.

Pero hay escenarios peores:

•Un atacante accede a tus cámaras de seguridad y vigila tu oficina, tus empleados y tus clientes

•A través de una impresora comprometida, accede a la red interna y de ahí a servidores con datos sensibles

•Un router comprometido permite interceptar todo el tráfico de la empresa, incluyendo correos y credenciales

Casos reales más allá de Mirai

Cámaras Verkada (2021)

Un grupo de hackers accedió a más de 150,000 cámaras de seguridad de la empresa Verkada, incluyendo cámaras dentro de hospitales, cárceles, escuelas y empresas como Tesla y Cloudflare. El acceso se logró usando credenciales de una cuenta de administrador encontradas expuestas en Internet.

Casinos hackeados por un termómetro de pecera (2018)

Uno de los casos más citados en ciberseguridad: atacantes entraron a la red de un casino en Estados Unidos a través de un termómetro inteligente en una pecera decorativa del lobby. Desde ese dispositivo IoT no protegido, se movieron lateralmente por la red hasta acceder a la base de datos de clientes VIP.

Impresoras como punto de entrada

Investigadores de seguridad han demostrado repetidamente que impresoras de red pueden ser usadas para acceder a redes corporativas, robar documentos que se envían a imprimir, e incluso instalar malware persistente en la memoria de la impresora.

Guía práctica: cómo asegurar el IoT de tu oficina

Paso 1: Hacé un inventario de todos los dispositivos conectados

No podés proteger lo que no conocés. Hacé una lista de todos los dispositivos conectados a tu red:

•Escaneá tu red con herramientas como Nmap o Fing (tiene versión gratuita para celular)

•Anotá marca, modelo, IP asignada y quién es responsable de cada dispositivo

•Marcá cuáles tienen acceso a Internet y cuáles solo están en la red local

•Identificá dispositivos que ya no se usan pero siguen conectados

Paso 2: Cambiá TODAS las contraseñas por defecto

Esto es lo más básico y lo que más impacto tiene. Hoy mismo:

•Cambiá la contraseña de administración de cada dispositivo IoT

•Usá contraseñas únicas y fuertes para cada dispositivo (mínimo 12 caracteres)

•Si el dispositivo soporta autenticación de dos factores, activala

•Deshabilitá cuentas de usuario que no se necesiten

Paso 3: Actualizá el firmware

Revisá si hay actualizaciones de firmware para cada dispositivo:

•Visitá el sitio web del fabricante y buscá tu modelo

•Si hay actualizaciones disponibles, aplicalas siguiendo las instrucciones del fabricante

•Si el fabricante ya no publica actualizaciones, considerá reemplazar el dispositivo

•Programá una revisión de actualizaciones al menos cada tres meses

Paso 4: Segmentá tu red (esto es clave)

La segmentación de red es la medida más efectiva para contener el daño si un dispositivo IoT es comprometido. La idea es simple: separar los dispositivos IoT en su propia red, aislada de la red donde están las computadoras y los servidores.

Cómo hacerlo en la práctica:

•Creá una VLAN separada: para dispositivos IoT. La mayoría de switches y routers empresariales (incluso los de gama media) soportan VLANs

•Red Wi-Fi separada:: Creá una red Wi-Fi exclusiva para dispositivos IoT, diferente a la que usan las computadoras y celulares del equipo

•Reglas de firewall:: Configurá el firewall para que los dispositivos IoT puedan acceder a Internet (si lo necesitan) pero **no puedan comunicarse con la red principal**

•Ejemplo práctico:: Las cámaras IP van en la VLAN 10 (192.168.10.x), las computadoras en la VLAN 20 (192.168.20.x), y las impresoras en la VLAN 30 (192.168.30.x). Las cámaras pueden enviar video al NVR pero no pueden "ver" las computadoras

Esto significa que si un atacante compromete una cámara, queda atrapado en esa red aislada y no puede saltar a donde están los datos importantes.

Paso 5: Deshabilitá lo que no necesitás

Los dispositivos IoT vienen con muchas funciones activadas por defecto. Desactivá todo lo que no usés:

•UPnP (Universal Plug and Play):: Permite que dispositivos abran puertos automáticamente en el router. Deshabilitalo

•Acceso remoto:: Si no necesitás acceder al dispositivo desde fuera de la oficina, desactivá el acceso remoto

•Servicios innecesarios:: Telnet, FTP y otros protocolos antiguos que muchos dispositivos traen activos

•WPS en routers Wi-Fi:: Es una vulnerabilidad conocida, deshabilitalo

Paso 6: Monitoreá el tráfico de los dispositivos IoT

Un dispositivo IoT comprometido suele cambiar su comportamiento de red:

•Una cámara que de repente envía datos a IPs desconocidas en otros países

•Una impresora que genera tráfico inusual fuera del horario laboral

•Dispositivos que intentan escanear otros dispositivos en la red

Configurá alertas en tu firewall o router para detectar estos patrones.

Plan de acción para PYMEs centroamericanas

Sabemos que la realidad de una PYME en Costa Rica, Guatemala o Panamá es diferente a la de una corporación multinacional. No siempre hay presupuesto para equipos de seguridad dedicados. Pero hay acciones concretas que podés tomar:

Esta semana:

•Hacé el inventario de dispositivos conectados con la app Fing (gratis)

•Cambiá las contraseñas por defecto de cámaras, impresoras y routers

•Verificá si tus cámaras están expuestas buscando tu IP en Shodan (shodan.io)

Este mes:

•Actualizá el firmware de todos los dispositivos IoT

•Creá una red Wi-Fi separada para dispositivos IoT

•Deshabilitá UPnP y acceso remoto donde no sea necesario

Este trimestre:

•Implementá segmentación de red con VLANs

•Establecé un proceso trimestral de revisión de dispositivos y actualizaciones

•Evaluá reemplazar dispositivos que ya no reciben actualizaciones de seguridad

El IoT no va a desaparecer, pero tu riesgo sí puede reducirse

Los dispositivos inteligentes llegaron para quedarse. Cada año habrá más cámaras, más sensores, más dispositivos conectados en tu oficina. La pregunta no es si los vas a tener, sino si los vas a tener bajo control.

En CiberShield ayudamos a PYMEs centroamericanas a identificar, inventariar y proteger todos los dispositivos conectados a su red. Nuestra solución DLP monitorea el tráfico de red y detecta comportamientos anómalos que podrían indicar un dispositivo comprometido. Además, te ayudamos a diseñar la segmentación de red que mantiene tu IoT aislado y bajo control.

¿Sabés cuántos dispositivos están conectados a tu red en este momento? Probablemente más de los que pensás. Contactanos para una auditoría de red y descubrí qué dispositivos están expuestos antes de que alguien más los encuentre.

IoT en la oficina: esos dispositivos "inteligentes" que nadie está protegiendo