La adopción de IoT en empresas creció por razones muy concretas: automatización, eficiencia operativa, trazabilidad, monitoreo remoto, mantenimiento predictivo, control energético y visibilidad en tiempo real. El problema es que esa conectividad también multiplica los puntos de entrada para atacantes. A diferencia de un laptop corporativo, muchos dispositivos IoT fueron diseñados primero para funcionar y después, si acaso, para resistir amenazas. Eso crea un entorno donde equipos críticos para la operación pueden terminar expuestos con credenciales débiles, firmware desactualizado o configuraciones por defecto.
El riesgo ya no es teórico. Nozomi Networks reportó que en la segunda mitad de 2025 casi la mitad de las vulnerabilidades observadas en entornos OT/IoT tenía severidad alta o crítica, y que la actividad de botnets IoT tuvo un pico fuerte el 2 de septiembre de 2025, cuando registraron ataques desde 1.169 direcciones IP distintas en un solo día, vinculados a una variante de Mirai.
Esto importa porque una empresa no necesita operar una planta industrial para tener riesgo IoT. Basta con usar cámaras conectadas, control de accesos, sistemas HVAC, impresoras de red, alarmas, equipos médicos, sensores logísticos o terminales inteligentes. Cada uno de esos activos puede servir para robar credenciales, entrar a la red, moverse lateralmente o interrumpir procesos esenciales si no existe una estrategia clara de protección.
El problema con IoT no es solo la cantidad, sino la visibilidad
Uno de los mayores desafíos del IoT empresarial es que muchas organizaciones ni siquiera saben con precisión cuántos dispositivos conectados tienen. La visibilidad suele ser baja porque los equipos IoT no siempre pasan por los mismos procesos de alta, inventario y mantenimiento que los activos de TI tradicionales. Un área compra cámaras; otra instala sensores; un proveedor deja un gateway; mantenimiento conecta un sistema; y nadie construye una imagen completa del entorno.
Ese vacío es peligroso porque no se puede proteger lo que no se conoce. La guía de ENISA sobre la cadena de suministro IoT subraya que hoy las organizaciones tienen menos visibilidad y menos entendimiento que antes sobre cómo la tecnología que adquieren es desarrollada, integrada y desplegada. Esa falta de visibilidad no solo afecta el origen del producto, sino también su uso real dentro de la empresa.
Por eso el primer paso en seguridad IoT no es comprar una herramienta sofisticada, sino identificar activos. Si una empresa no sabe qué dispositivos están conectados, qué firmware usan, qué protocolos exponen, qué credenciales manejan y con qué redes se comunican, ya parte en desventaja.
Muchas vulnerabilidades viven años en el entorno
Los dispositivos IoT suelen permanecer mucho tiempo en operación y recibir menos mantenimiento que otros sistemas. Nozomi destaca que casi la mitad de las vulnerabilidades presentes en los entornos observados tenía severidad alta o crítica, y que varios de los equipos más afectados en 2025 pertenecían a fabricantes industriales ampliamente desplegados.
Esto refleja un problema estructural: el ciclo de vida de IoT es largo, pero la gestión de vulnerabilidades rara vez acompaña. A veces los dispositivos no pueden parcharse fácilmente; otras veces el proveedor dejó de dar soporte; y en muchos casos nadie tiene un procedimiento claro para revisar firmware, aplicar actualizaciones o reemplazar equipos obsoletos.
El resultado es un ecosistema donde un dispositivo antiguo y olvidado puede seguir expuesto durante años. En 2026, eso ya no es una rareza operativa; es una debilidad de seguridad seria. CISA incluso impulsó acciones para retirar equipos edge e IoT sin soporte en entornos federales, precisamente por el riesgo que representan los dispositivos no parcheables o fuera de vida útil.
Las botnets siguen aprovechando errores básicos
Hablar de IoT y ciberseguridad obliga a recordar una lección conocida: muchas campañas exitosas siguen explotando fallos muy básicos. El reporte de Nozomi muestra que la actividad botnet continúa siendo relevante en entornos IoT y que variantes inspiradas en Mirai siguen activas y evolucionando.
Esto es importante porque Mirai se hizo conocida por comprometer dispositivos con configuraciones débiles, credenciales por defecto y mala higiene básica. El patrón sigue vigente: cuando una empresa despliega equipos sin cambiar claves, sin cerrar servicios innecesarios, sin segmentar redes y sin monitorear comportamientos anómalos, crea un terreno ideal para automatización maliciosa.
Dicho de otro modo, no todos los riesgos IoT vienen de ataques altamente sofisticados. Una gran parte sigue dependiendo de prácticas deficientes de inventario, configuración y mantenimiento. Eso es una mala noticia para quien improvisa, pero una buena noticia para quien quiere mejorar rápido con controles bien conocidos.
La red inalámbrica también es parte del problema
Muchos dispositivos conectados dependen de redes inalámbricas, y ahí aparece otra debilidad frecuente. Nozomi observó que el 68% de las redes inalámbricas analizadas seguía operando sin Management Frame Protection, que solo el 0,3% usaba autenticación empresarial 802.1X y que el 14% mantenía modos abiertos o heredados de seguridad.
Esos datos importan porque buena parte del IoT empresarial vive precisamente sobre Wi-Fi, enlaces inalámbricos o redes de difícil supervisión. Si la capa de conectividad ya es débil, cualquier esfuerzo de proteger el dispositivo queda limitado.
Por eso la seguridad IoT no puede tratarse solo como un asunto del equipo final. También exige revisar cómo se conecta: qué red usa, qué cifrado tiene, cómo se autentica, si comparte segmento con usuarios corporativos y si existe la posibilidad de aislar tráfico sospechoso sin afectar toda la operación.
La cadena de suministro IoT es un riesgo propio
Otro desafío decisivo en IoT es que muchas empresas compran soluciones cerradas o semipreparadas sin visibilidad suficiente sobre sus componentes. ENISA advierte que la cadena de suministro IoT se volvió un eslabón débil porque las organizaciones no siempre pueden controlar las medidas de seguridad de sus socios ni entender del todo cómo los productos que adquieren fueron desarrollados, integrados y desplegados.
Además, la encuesta citada por ENISA identificó como amenazas principales la existencia de componentes y proveedores no confiables, así como la mala gestión de vulnerabilidades en componentes de terceros. En IoT, esto es especialmente delicado porque hardware, software, firmware y servicios suelen depender de múltiples actores.
La lección es clara: proteger dispositivos conectados no empieza cuando el equipo ya está enchufado. Empieza al elegir al proveedor, exigir documentación, revisar soporte, entender dependencias y evaluar cómo se manejarán actualizaciones, fallos y fin de vida del producto.
Cómo proteger dispositivos conectados en la práctica
La primera medida real es construir un inventario vivo de dispositivos IoT. Debe incluir tipo de equipo, ubicación, dueño interno, fabricante, firmware, red, credenciales, protocolos usados, función de negocio y criticidad operativa. Sin esto, cualquier programa de protección será parcial.
La segunda es aplicar seguridad por diseño y por defecto siempre que sea posible. ENISA destaca precisamente estos principios como base para enfrentar la complejidad del IoT a lo largo de todo el ciclo de vida. En la práctica, esto implica evitar configuraciones por defecto, deshabilitar servicios innecesarios, cambiar credenciales iniciales y reducir funciones expuestas desde el primer despliegue.
La tercera es segmentar. Los dispositivos IoT no deberían convivir sin más con estaciones de trabajo, sistemas financieros o servicios críticos del negocio. La segmentación de red reduce movimiento lateral y permite aislar incidentes con menos impacto operacional.
Gestión de identidades, acceso y mantenimiento
Otra medida clave es profesionalizar la identidad de los dispositivos. Muchos equipos IoT siguen autenticándose con cuentas compartidas, contraseñas estáticas o métodos difíciles de auditar. Esto crea riesgos de trazabilidad, abuso y persistencia.
La empresa debería revisar qué dispositivos permiten autenticación fuerte, qué cuentas usan, quién puede administrarlos y cómo se rotan o revocan credenciales cuando cambia un proveedor o termina un contrato. ABI Research destaca que en 2026 tecnologías como eSIM y provisión remota segura pueden fortalecer visibilidad, control y revocación en entornos IoT celulares distribuidos.
A eso se suma el mantenimiento. Un programa serio de seguridad IoT necesita calendario de revisión de firmware, criterio para priorizar actualizaciones, validación de soporte del fabricante y plan de reemplazo para equipos sin parches o fuera de vida útil. En muchos casos, el riesgo más alto no es un exploit nuevo, sino un equipo viejo que nadie quiso retirar a tiempo.
Monitoreo continuo y respuesta específica
La protección IoT también requiere monitoreo. Nozomi recomienda una defensa en profundidad para eliminar puntos ciegos, optimizar recursos y aumentar resiliencia operativa. Eso es importante porque muchos ataques contra IoT no generan las mismas señales que una estación Windows o un servidor tradicional.
Por eso conviene vigilar comportamientos anómalos como conexiones inesperadas, cambios de firmware no autorizados, tráfico saliente inusual, intento de comunicación con destinos no habituales o dispositivos que aparecen y desaparecen de la red sin explicación.
Además, la empresa debería tener procedimientos de respuesta específicos para IoT. No siempre será correcto apagar un equipo de inmediato si afecta producción, control de acceso o monitoreo crítico. Igual que en OT, la respuesta debe equilibrar seguridad y continuidad. ENISA y otros análisis recientes insisten en la necesidad de procedimientos adaptados a estos entornos, no simples extensiones del manual de TI.
El factor humano sigue importando
Aunque IoT parece un tema puramente técnico, muchas debilidades empiezan en decisiones humanas. Equipos comprados sin validación, contraseñas que nunca se cambian, proveedores con acceso persistente, redes compartidas por comodidad o dispositivos instalados sin participación del equipo de seguridad son problemas muy comunes.
Eso significa que la protección de dispositivos conectados también exige gobernanza. Compras, operaciones, mantenimiento, TI, seguridad y áreas usuarias deben coordinarse para que ningún dispositivo entre a la empresa sin un mínimo proceso de revisión, registro y endurecimiento.
En otras palabras, la seguridad IoT mejora cuando deja de ser una preocupación tardía y se convierte en una decisión operacional desde el inicio.
Un plan realista para empezar
Si una empresa quiere mejorar rápido su seguridad IoT, puede comenzar por estas acciones:
- Inventariar todos los dispositivos conectados y sus dueños internos.
- Cambiar credenciales por defecto y eliminar accesos innecesarios.
- Segmentar redes IoT de la red corporativa principal.
- Revisar firmware, soporte del fabricante y fin de vida de los equipos.
- Exigir criterios mínimos de seguridad a proveedores y cadena de suministro.
- Monitorear tráfico y comportamiento anómalo de dispositivos.
- Preparar respuesta específica para incidentes en entornos conectados.
Estas medidas no resuelven todo, pero reducen gran parte del riesgo más común y ayudan a pasar de un ecosistema improvisado a uno gobernado.
IoT y ciberseguridad ya no pueden tratarse por separado. En una empresa moderna, cada dispositivo conectado puede ser una fuente de eficiencia o una puerta de entrada para un incidente serio. La diferencia entre una cosa y la otra rara vez depende del dispositivo en sí, y casi siempre depende de cómo la organización lo inventaría, lo segmenta, lo actualiza, lo monitorea y lo integra en su estrategia general de seguridad.