El número de dispositivos conectados a las redes empresariales está creciendo más rápido de lo que la mayoría de los equipos de seguridad pueden seguir. Con IoT Analytics informando de 21 100 millones de dispositivos IoT conectados a nivel mundial en 2025, y previsiones que superan los 25 000 millones para 2026, la superficie de ataque se está ampliando a un ritmo que la seguridad tradicional de los puntos finales nunca fue diseñada para manejar. La mayoría de estos dispositivos no pueden ejecutar agentes de seguridad. Se envían con credenciales predeterminadas, reciben actualizaciones de firmware poco frecuentes y funcionan en sistemas propietarios que se resisten a las modificaciones. El resultado es un entorno en el que los atacantes encuentran puntos de entrada fáciles y los defensores luchan por obtener visibilidad. Esta guía trata sobre qué es la seguridad del IoT, las amenazas más importantes en 2026, las recientes violaciones que exponen las consecuencias en el mundo real y las prácticas por capas que las organizaciones necesitan para proteger los dispositivos conectados en la red moderna.
La seguridad del IoT es el conjunto de prácticas, tecnologías y políticas que protegen los dispositivos del Internet de las cosas y las redes a las que se conectan frente a las amenazas cibernéticas. Abarca el refuerzo de los dispositivos, la supervisión de la red, el cifrado de datos y el control de acceso para los dispositivos conectados (sensores, cámaras, equipos médicos, controladores industriales y aparatos inteligentes) que a menudo carecen de los recursos informáticos necesarios para ejecutar el software de seguridad tradicional. Dado que estos dispositivos recopilan, transmiten y actúan sobre los datos en entornos empresariales e industriales, cualquier vulnerabilidad puede tener consecuencias mucho más allá del propio dispositivo.
La magnitud del desafío sigue creciendo. Según IoT Analytics, los dispositivos IoT conectados alcanzaron los 21 100 millones en todo el mundo en 2025, con un crecimiento interanual del 14 %. El mercado de la seguridad del IoT refleja esta urgencia, con estimaciones que oscilan entre los 8000 y los 45 000 millones de dólares en 2026, dependiendo de cómo se defina la seguridad del IoT (fuente: agregación de comparecheapssl, 2026).
La seguridad del IoT se basa en tres pilares: la seguridad de los dispositivos, la seguridad de la red y la seguridad cloud. Cada capa aborda un segmento diferente de la superficie de ataque, pero la capa de red tiene una importancia desmesurada, ya que es la única que proporciona visibilidad de los dispositivos que no pueden albergar sus propias defensas.
Los dispositivos IoT plantean un reto de seguridad especialmente difícil por cinco razones:
Estas vulnerabilidades explican por qué los operadores de botnets y los actores estatales se centran cada vez más en los dispositivos IoT como punto de entrada inicial a las redes empresariales.
La seguridad del IoT opera en tres capas arquitectónicas, cada una de las cuales aborda una parte diferente de la superficie de ataque. Comprender cómo interactúan estas capas, y dónde siguen existiendo brechas, es esencial para crear un entorno de IoT defendible.
Capa de dispositivos. La seguridad comienza en el propio dispositivo mediante firmware reforzado, procesos de arranque seguro, gestión de credenciales y cifrado de datos en reposo. Los fabricantes que siguen normas como NIST SP 800-213 incorporan la seguridad en los dispositivos desde la fase de diseño. Sin embargo, muchos dispositivos IoT se comercializan sin estas protecciones y las organizaciones no pueden adaptarlos después de su implementación.
Capa de red. La segmentación de la red (VLAN, microsegmentación) aísla los dispositivos IoT para que una vulnerabilidad en un segmento no se propague libremente. La supervisión del tráfico y la detección de anomalías mediante soluciones de detección y respuesta de red identifican comportamientos sospechosos en tiempo real. Esta capa es el control principal para entornos sin agentes.
CapaCloud aplicaciones. La seguridad de las API, el control de acceso y el cifrado de datos en tránsito (TLS 1.2 o superior) protegen los cloud con los que se comunican los dispositivos IoT. La gestión Cloud garantiza que las configuraciones erróneas, como la que provocó la filtración de Mars Hydro, no expongan miles de millones de registros.
Texto alternativo para el diagrama de arquitectura: Arquitectura de seguridad IoT de tres capas que muestra el refuerzo de los dispositivos en la parte inferior, la supervisión de la red a través de NDR en la parte central y los controles cloud en la parte superior, con puntos de detección etiquetados en cada capa.
Dado que la mayoría de los dispositivos IoT no pueden ejecutar agentes de punto final, el análisis del tráfico de red se convierte en el método principal para identificar los dispositivos comprometidos. Según estudios del sector, el 80 % de las violaciones de seguridad del IoT comienzan a nivel de dispositivo (2025, deepstrike.io), pero los defensores deben detectar estas violaciones desde la red, el único punto de observación disponible.
La detección y respuesta de red supervisa los flujos de tráfico IoT tanto este-oeste (interno) como norte-sur (externo) para detectar comportamientos anómalos: devoluciones de llamada de comando y control, movimientos laterales e intentos de exfiltración de datos. El análisis de comportamiento establece una referencia de los patrones de comunicación normales de cada dispositivo (una cámara IP debe comunicarse con su NVR, no con una IP externa en una zona geográfica desconocida) y señala automáticamente las desviaciones.
Este enfoque sin agentes proporciona la misma visibilidad de los dispositivos gestionados y no gestionados, cerrando la brecha que dejan abierta las estrategias centradas exclusivamente en los puntos finales.
Para crear una arquitectura de seguridad IoT resiliente se requieren cuatro capacidades que funcionen conjuntamente:
Las amenazas del IoT en 2026 abarcan desde botnets de más de 20 Tbps y malware en la cadena de suministro malware campañas de reconocimiento impulsadas por IA y patrocinadas por el Estado que tienen como objetivo infraestructuras críticas. La siguiente tabla muestra las amenazas más frecuentes para MITRE ATT&CK observadas en los ataques a IoT.
Tabla: MITRE ATT&CK más comúnmente observadas en ataques a IoT (2024-2026)
Reclutamiento de botnets y DDoS. La botnet Aisuru/TurboMirai alcanzó una capacidad DDoS de más de 20 Tbps en 2025-2026, lo que representa un crecimiento interanual del 700 % en el potencial de ataque. Microsoft Azure bloqueó un ataque DDoS récord de 15,72 Tbps vinculado a botnets de IoT a principios de 2026.
Compromiso de la cadena de suministro. BadBox 2.0 comprometió más de 10 millones de televisores inteligentes, proyectores y sistemas de infoentretenimiento con malware preinstalado malware en 2025, lo que la convierte en la mayor botnet de televisores conocida (fuente: Asimily).
Ransomware dirigido a OT e IoT. Los ataques de ransomware contra sistemas OT aumentaron un 46 % en 2025, según Nozomi Networks, utilizando cada vez más dispositivos IoT comprometidos como punto de entrada inicial.
Exposición de datos. La configuración incorrecta de Mars Hydro expuso 2700 millones de registros de dispositivos IoT en 2025, lo que demuestra que los fallos de seguridad del IoT cloud pueden ser tan devastadores como las vulnerabilidades a nivel de dispositivo.
En todas las categorías, Bitdefender y Netgear detectaron 13 600 millones de ataques a dispositivos IoT solo entre enero y octubre de 2025.
Las recientes violaciones de la seguridad del IoT demuestran que los ataques a la cadena de suministro, las redes de bots y las configuraciones erróneas suponen un riesgo existencial para las organizaciones que no están preparadas. Los cinco casos que se describen a continuación, todos ellos ocurridos entre 2024 y 2026, ilustran la magnitud y la variedad de los fallos de seguridad del IoT en el mundo real.
Las consecuencias financieras de los ciberataques al IoT son considerables y cada vez mayores:
Estas cifras ponen de relieve por qué la seguridad del IoT ya no es opcional. Una sola filtración de datos procedente de un dispositivo IoT sin supervisar puede costar más que años de inversión preventiva.
La seguridad del IoT y la OT comparten retos comunes, pero difieren en cuanto a prioridades, características de los dispositivos y métodos de detección. Comprender estas diferencias, y dónde convergen ambos ámbitos, es esencial para las organizaciones que gestionan entornos cada vez más interconectados.
Tabla: Diferencias clave entre la seguridad del IoT, el OT y el IIoT
El IoT industrial (IIoT) une ambos mundos, implementando sensores y controladores conectados en entornos de fabricación e infraestructuras críticas donde están en juego tanto la integridad de los datos como la seguridad física.
El 11 de diciembre de 2025 se produjo un avance normativo histórico cuando la CISA publicó la CPG 2.0, que unifica los objetivos de seguridad de TI, IoT y OT en seis funciones: gobernar, identificar, proteger, detectar, responder y recuperar. Se trata del primer marco que une formalmente los tres ámbitos, lo que refleja la convergencia que los equipos de seguridad llevan años gestionando a nivel operativo.
Las organizaciones necesitan capacidades integradas de detección de amenazas y cumplimiento normativo que abarquen el IoT, el OT y el TI, y no herramientas aisladas que crean puntos ciegos en los límites.
Una defensa eficaz del IoT requiere ocho prácticas por capas, desde el inventario de dispositivos hasta zero trust, con una supervisión basada en la red que cubra la brecha de seguridad sin agentes.
Las organizaciones también deben integrar sistemas de detección y prevención de intrusiones y programas de gestión de vulnerabilidades en su estrategia de seguridad del IoT para garantizar una evaluación continua de la postura.
Adaptar zero trust al IoT requiere abordar una tensión fundamental: muchos dispositivos IoT no son compatibles con zero trust estándar zero trust , como la autenticación multifactorial o los certificados de cliente.
Las soluciones prácticas incluyen:
Zero Trust for IoT (Directrices de confianza cero para el IoT) de laCloud Alliance proporciona un marco de referencia para las organizaciones que están llevando a cabo esta adaptación.
El panorama normativo del IoT se está endureciendo rápidamente, con la entrada en vigor en septiembre de 2026 de las obligaciones de información de la CRA de la UE y la CISA CPG 2.0, que ya unifica los objetivos de seguridad de TI, IoT y OT.
Tabla: Panorama normativo en materia de seguridad del IoT a principios de 2026
Las organizaciones que venden productos conectados en la UE deben comenzar a prepararse ahora mismo. Las obligaciones de notificación de la CRA, que entrarán en vigor en septiembre de 2026, exigen a los fabricantes que notifiquen las vulnerabilidades explotadas activamente en un plazo de 24 horas, lo que supone un compromiso operativo significativo.
La detección de redes basada en IA, la consolidación del mercado y la correlación de señales de TI/IoT/OT definen el futuro de la seguridad del IoT para las empresas modernas.
La detección de amenazas basada en IA está transformando la forma en que las organizaciones protegen los entornos de IoT. Los modelos de aprendizaje automático entrenados en patrones de tráfico de IoT pueden identificar dispositivos comprometidos más rápidamente que los sistemas basados en reglas, y la IA generativa está comenzando a automatizar los procesos de respuesta ante intrusiones. Para 2026, la detección eficaz de amenazas deberá incorporar datos de los dominios OT, IoT y periféricos, y correlacionarlos con señales de TI para obtener una visibilidad unificada.
La consolidación del mercado refleja la importancia estratégica de la seguridad del IoT. La adquisición de Armis por parte de ServiceNow por 7750 millones de dólares en 2025 fue la operación más destacada de un año en el que las fusiones y adquisiciones en el ámbito de la ciberseguridad superaron los 84 000 millones de dólares en total. La adquisición de Nozomi Networks por parte de Mitsubishi Electric (por unos 883 millones de dólares) es otra señal de que la seguridad de las tecnologías operativas y el IoT se ha convertido en una prioridad para los consejos de administración.
El enfoque centrado en la red está ganando terreno como principal control de seguridad del IoT. Las organizaciones están invirtiendo en capacidades de detección de amenazas basadas en el comportamiento y de búsqueda de amenazas que funcionan en poblaciones de dispositivos gestionados y no gestionados, tratando la red como un sensor universal.
Vectra AI la seguridad del IoT desde la perspectiva de la detección basada en la red y Attack Signal Intelligence. Dado que los dispositivos IoT no pueden ejecutar agentes de punto final, la red se convierte en la principal fuente de información para identificar los dispositivos comprometidos. La filosofía Vectra AI de asumir el compromiso (que los atacantes inteligentes entrarán y lo importante es encontrarlos rápidamente) se aplica directamente a los entornos IoT, donde la superficie de ataque en expansión de los dispositivos no gestionados exige una visibilidad unificada.
Esto significa correlacionar señales entre entornos locales, cloud, de identidad y de IoT/OT para detectar ataques reales, no más alertas. Cuando una cámara comienza a comunicarse con un host externo desconocido o un sensor empieza a escanear subredes internas, la detección y respuesta de la red identifica el comportamiento y le da prioridad para su investigación, independientemente de si ese dispositivo puede ejecutar un agente.
El panorama de la seguridad del IoT seguirá cambiando significativamente durante los próximos 12 a 24 meses, impulsado por los plazos reglamentarios, la evolución de las técnicas de ataque y la convergencia tecnológica.
La aplicación de la normativa comienza en serio. Las obligaciones de notificación de la Ley de Ciberresiliencia de la UE entran en vigor el 11 de septiembre de 2026, y exigen a los fabricantes que notifiquen en un plazo de 24 horas las vulnerabilidades explotadas activamente en los productos conectados. Las organizaciones que venden o implementan dispositivos IoT en la UE deben auditar ahora sus procesos de divulgación de vulnerabilidades. En Estados Unidos, el futuro del programa Cyber Trust Mark de la FCC sigue siendo incierto después de que UL Solutions se retirara como administrador en diciembre de 2025, pero el apoyo bipartidista del Congreso sugiere que surgirá un sustituto.
La carrera armamentística de la IA se acelera. Los atacantes están utilizando la IA para el escaneo automatizado de vulnerabilidades, patrones DDoS adaptativos y técnicas de evasión que se transforman en tiempo real. Los defensores están respondiendo con análisis de comportamiento impulsados por la IA que pueden establecer una base de referencia para millones de dispositivos IoT y detectar anomalías a la velocidad de la máquina. La ventaja será para las organizaciones que implementen la IA de forma defensiva antes de que los atacantes amplíen su IA de forma ofensiva.
La convergencia entre TI, IoT y OT se convierte en una realidad operativa. El CISA CPG 2.0 formalizó lo que los equipos de seguridad sabían desde hacía años: la TI, el IoT y el OT no pueden protegerse de forma aislada. En los próximos 12 meses, se espera ver plataformas de seguridad unificadas que correlacionen las señales en los tres dominios, sustituyendo los conjuntos de herramientas fragmentados que crean puntos ciegos en los límites de los dominios. Las organizaciones deben dar prioridad a las inversiones en plataformas que ofrezcan visibilidad entre dominios.
El volumen de dispositivos sigue aumentando. Se prevé que el número de dispositivos IoT supere los 25 000 millones en 2026, por lo que el enorme volumen de terminales no gestionados abrumará a las organizaciones que dependen del inventario manual y de la seguridad de un dispositivo a la vez. La detección, clasificación y supervisión del comportamiento automatizadas pasarán de ser una buena práctica a ser un requisito básico.
La seguridad del IoT ya no es una preocupación minoritaria, sino un requisito fundamental para las empresas. Con 21 100 millones de dispositivos conectados en 2025, amenazas que van desde botnets de más de 20 Tbps hasta malware en la cadena de suministro malware millones de dispositivos, y plazos normativos que se acercan, las organizaciones que posponen la inversión en seguridad del IoT están aceptando un riesgo que tal vez no puedan asumir.
El camino a seguir está claro. Crear un inventario completo de dispositivos. Segmentar los dispositivos IoT de los sistemas críticos. Implementar la detección basada en la red para cubrir los dispositivos que no pueden protegerse por sí mismos. Prepararse para los requisitos de la CRA de la UE y la CPG 2.0 de la CISA que ya están en el calendario. Y adoptar una mentalidad que asuma el compromiso, porque en un entorno con cientos de miles de dispositivos no gestionados, encontrar rápidamente al atacante es más importante que esperar que nunca entre.
Descubra cómo el enfoque Vectra AI para la detección y respuesta de redes proporciona una visibilidad unificada en entornos de IoT, OT, cloud e identidad, convirtiendo la red en el sensor que los agentes de punto final nunca podrán ser.
La seguridad del IoT es el conjunto de prácticas, tecnologías y políticas diseñadas para proteger los dispositivos del Internet de las cosas y las redes a las que se conectan frente a las amenazas cibernéticas. Abarca el refuerzo de los dispositivos, la supervisión de la red, el cifrado de datos y el control de acceso para los dispositivos conectados que a menudo carecen de los recursos informáticos necesarios para ejecutar el software de seguridad tradicional. Con IoT Analytics informando de 21 100 millones de dispositivos conectados en 2025, la seguridad del IoT se ha convertido en una preocupación fundamental para las empresas. Los tres pilares de la seguridad del IoT (la seguridad de los dispositivos, la seguridad de la red y la seguridad cloud) trabajan conjuntamente para proteger los dispositivos contra compromisos iniciales, detectar amenazas en tránsito y proteger los datos que generan estos dispositivos. Las organizaciones que descuidan cualquiera de estos pilares crean brechas que los atacantes explotan habitualmente.
Las amenazas más críticas para el IoT en 2026 incluyen el reclutamiento de botnets (la botnet Aisuru/TurboMirai alcanzó una capacidad DDoS de más de 20 Tbps), el compromiso de la cadena de suministro (BadBox 2.0 preinfectó más de 10 millones de dispositivos), la explotación de credenciales predeterminadas, las vulnerabilidades del firmware y el movimiento lateral desde el IoT a las redes de TI. Entre las amenazas emergentes se incluyen el reconocimiento automatizado impulsado por la IA, las campañas patrocinadas por Estados como IOCONTROL dirigidas a infraestructuras críticas y las variantes de Mirai de última generación, como Eleven11bot y Kimwolf. El aumento del 46 % en los ataques de ransomware contra sistemas OT (Nozomi Networks, 2025) también indica un riesgo creciente en la frontera entre el IoT y el OT.
Comience con un inventario completo de dispositivos para identificar todos los dispositivos conectados a su red. A continuación, implemente la segmentación de la red para aislar los dispositivos IoT en VLAN dedicadas. Cambie inmediatamente todas las credenciales predeterminadas: la OWASP IoT Top 10 lo clasifica como la principal vulnerabilidad. Implemente una supervisión basada en la red, como NDR, para detectar amenazas en dispositivos que no pueden ejecutar agentes. Automatice las actualizaciones de firmware para cerrar las vulnerabilidades conocidas. Cifre todos los datos en tránsito con TLS 1.2 o superior. Aplique zero trust verificando todos los dispositivos y conexiones. Por último, planifique la gestión completa del ciclo de vida de los dispositivos, desde la adquisición hasta el desmantelamiento, siguiendo las directrices de NIST SP 800-213 y CISA CPG 2.0.
La seguridad del IoT se centra en proteger los dispositivos conectados, como cámaras, sensores y electrodomésticos inteligentes, y suele dar prioridad a la confidencialidad y la integridad de los datos (la tradicional tríada CIA). La seguridad OT protege los sistemas de control industrial (SCADA, PLC y sistemas de control distribuido), en los que la seguridad física y la disponibilidad son primordiales, reordenando las prioridades a disponibilidad, integridad y confidencialidad (AIC). El IoT industrial (IIoT) une ambos ámbitos, desplegando sensores y controladores conectados en entornos industriales. El CISA CPG 2.0, publicado el 11 de diciembre de 2025, unificó por primera vez los objetivos de seguridad de TI, IoT y OT en seis funciones, reflejando la convergencia operativa que deben gestionar las organizaciones modernas.
Los dispositivos IoT son vulnerables por cinco razones estructurales. A menudo se envían con contraseñas predeterminadas o codificadas que los usuarios nunca cambian. Funcionan con sistemas operativos propietarios o integrados que no pueden alojar agentes de seguridad. Reciben actualizaciones de firmware poco frecuentes, y el 60 % de las violaciones de seguridad del IoT se remontan a firmware sin parches (2025, deepstrike.io). Tienen ciclos de vida largos, a veces de 10 a 25 años, sin parches de seguridad planificados para el fin del soporte. Y operan en un ecosistema heterogéneo con miles de fabricantes y estándares de seguridad inconsistentes, lo que dificulta enormemente la gestión centralizada. Estas limitaciones significan que la supervisión a nivel de red es a menudo la única forma viable de detectar cuándo un dispositivo IoT ha sido comprometido.
Las organizaciones deben supervisar seis marcos normativos clave. La Ley de Ciberresiliencia de la UE establece obligaciones de notificación que entrarán en vigor el 11 de septiembre de 2026, y las obligaciones principales lo harán en diciembre de 2027. La Ley PSTI del Reino Unido ya es aplicable y prohíbe las contraseñas predeterminadas en los dispositivos IoT de consumo. La CISA CPG 2.0, publicada en diciembre de 2025, establece objetivos de seguridad unificados para TI/IoT/OT para las infraestructuras críticas de EE. UU. La norma NIST SP 800-213 ofrece controles de seguridad específicos para el IoT. La norma IEC 62443 cubre los sistemas de automatización y control industrial. La marca de confianza cibernética de la FCC de EE. UU., un programa de etiquetado voluntario, está a la espera de un nuevo administrador después de que UL Solutions se retirara en diciembre de 2025.
La gestión de dispositivos IoT abarca los procesos y herramientas para el aprovisionamiento, la supervisión, la actualización y el desmantelamiento de los dispositivos conectados a lo largo de todo su ciclo de vida. Incluye la detección automatizada de activos para mantener un inventario en tiempo real de todos los dispositivos conectados, la gestión de actualizaciones de firmware para corregir vulnerabilidades conocidas, la gestión de la configuración para aplicar las bases de seguridad, el control de acceso para limitar las comunicaciones de los dispositivos a los servicios autorizados y la supervisión del estado para detectar dispositivos degradados o comprometidos. Una gestión eficaz de los dispositivos es fundamental para la seguridad del IoT, ya que las organizaciones no pueden proteger los dispositivos que desconocen. Tanto el NIST como la CISA hacen hincapié en el inventario de dispositivos como primer paso de cualquier programa de seguridad del IoT, y el marco de buenas prácticas de ocho pasos descrito anteriormente comienza con esta capacidad por una buena razón.