Seguridad en domótica: cómo proteger tu hogar inteligente

La comodidad de un hogar inteligente viene acompañada de una responsabilidad importante: la seguridad. Cada dispositivo conectado puede convertirse en una puerta de entrada para ciberdelincuentes si no tomas las medidas adecuadas.

Pero no tienes que renunciar a la domótica por miedo. En esta guía práctica te enseño cómo proteger realmente tu hogar inteligente con medidas concretas y efectivas, para que disfrutes de la tecnología con total tranquilidad.

Los riesgos reales de un hogar inteligente desprotegido

Amenazas más frecuentes en 2025

Acceso no autorizado a dispositivos:

47% de cámaras domésticas tienen contraseñas por defecto
38% de cerraduras inteligentes sufren intentos de hackeo mensualmente
62% de usuarios nunca cambian configuraciones de fábrica

Robo de datos personales:

Patrones de vida (cuándo sales/llegas a casa)
Conversaciones grabadas por altavoces inteligentes
Datos de consumo energético y rutinas familiares
Información financiera (compras online, códigos PIN)

Uso de dispositivos para ataques:

Formación de botnets con dispositivos IoT comprometidos
Ataques DDoS usando tu ancho de banda
Minería de criptomonedas en dispositivos potentes

Casos reales documentados

Ring doorbell (2019-2023):

Miles de cámaras comprometidas por contraseñas débiles
Hackers accediendo a feeds en tiempo real
Comunicación directa con residentes a través del altavoz

Bombillas Philips Hue (2020):

Vulnerabilidad que permitía acceso completo a la red doméstica
Propagación malware a través de protocolo Zigbee
Compromiso de datos WiFi por proximidad física

Termostatos Nest (2021-2024):

Acceso remoto para modificar temperaturas extremas
Robo de horarios familiares y patrones de ocupación
Costes energéticos manipulados artificialmente

Evaluación de riesgos: ¿qué tan vulnerable eres?

Test de seguridad básico

Responde honestamente:

¿Cuántos dispositivos tienes con contraseña por defecto?
- Ninguno = 0 puntos
- 1-2 dispositivos = 3 puntos
- 3-5 dispositivos = 6 puntos
- Más de 5 = 10 puntos
¿Con qué frecuencia actualizas el firmware?
- Automático siempre = 0 puntos
- Cada 3-6 meses = 2 puntos
- Una vez al año = 5 puntos
- Nunca = 8 puntos
¿Tienes red separada para IoT?
- Sí, VLAN dedicada = 0 puntos
- Red WiFi separada = 1 punto
- Todo en la misma red = 5 puntos
¿Qué tan complejas son tus contraseñas?
- 16+ caracteres únicos = 0 puntos
- 8-15 caracteres variados = 2 puntos
- Contraseñas simples/repetidas = 6 puntos

Interpretación de resultados:

0-5 puntos: Seguridad buena, mantén las buenas prácticas
6-12 puntos: Riesgo moderado, mejoras necesarias
13-20+ puntos: Alto riesgo, acción inmediata requerida

Dispositivos por nivel de riesgo

Riesgo CRÍTICO (acción inmediata):

Cámaras de seguridad con acceso remoto
Cerraduras inteligentes conectadas
Sistemas de alarma con app móvil
Termostatos con control de calefacción/refrigeración

Riesgo ALTO (atención prioritaria):

Altavoces inteligentes con micrófono siempre activo
Hubs centrales que controlan múltiples dispositivos
Routers y puntos de acceso WiFi
Dispositivos con acceso a datos financieros

Riesgo MODERADO (revisión regular):

Iluminación inteligente básica
Interruptores WiFi simples
Sensores de temperatura/humedad
Enchufes inteligentes básicos

Configuración de seguridad paso a paso

Paso 1: Asegurar la base - Tu red WiFi

Router: La primera línea de defensa

Configuración básica obligatoria:

Cambios en el router:
✓ Contraseña admin única (16+ caracteres)
✓ SSID personalizado (no marca/modelo del router)
✓ Cifrado WPA3 (WPA2 mínimo)
✓ Desactivar WPS
✓ Firmware actualizado
✓ Cambiar DNS (Cloudflare: 1.1.1.1 / Quad9: 9.9.9.9)

Configuración avanzada recomendada:

Funcionalidad	Configuración	Razón
Firewall	Activado + reglas restrictivas	Bloquea tráfico malicioso
DMZ	Desactivado	Elimina acceso directo externo
UPnP	Desactivado	Evita apertura automática puertos
Remote Admin	Desactivado	Impide acceso remoto al router
Guest Network	Activada para IoT	Segmenta dispositivos

Segregación de red efectiva

Opción básica: Red de invitados para IoT

Internet ←→ Router ←→ [Red Principal] ← PCs, móviles, laptops
                  ↘ [Red Invitados] ← Todos los dispositivos IoT

Opción avanzada: VLAN dedicadas

Internet ←→ Router ←→ [VLAN 10] ← Dispositivos trabajo
                  ↘ [VLAN 20] ← Dispositivos personales
                  ↘ [VLAN 30] ← Dispositivos IoT críticos
                  ↘ [VLAN 40] ← Dispositivos IoT básicos

Paso 2: Configuración segura de dispositivos

Checklist obligatorio por dispositivo

Al instalar cualquier dispositivo nuevo:

Cambiar credenciales por defecto
- Usuario admin → Crear usuario único
- Contraseña → Generar contraseña fuerte única
- Usar gestor de contraseñas (Bitwarden, 1Password)
Revisar y ajustar configuraciones
- Desactivar características innecesarias
- Configurar actualizaciones automáticas
- Revisar permisos de aplicación móvil
Configurar red apropiada
- Conectar a red IoT segregada
- Verificar que no accede a dispositivos principales
- Comprobar tráfico en router

Configuraciones específicas por tipo

Cámaras de seguridad:

Configuración obligatoria:
✓ Cambiar usuario/contraseña por defecto
✓ Activar cifrado de video (si disponible)
✓ Configurar grabación local vs cloud
✓ Desactivar audio si no es necesario
✓ Configurar detección de movimiento precisa
✓ Limitar horarios de actividad remota

Altavoces inteligentes:

Configuración privacy-first:
✓ Desactivar micrófono cuando no se use
✓ Revisar historial de grabaciones mensualmente
✓ Configurar palabras de activación seguras
✓ Limitar acceso a servicios externos
✓ Desactivar compras por voz
✓ Configurar perfiles de voz familiares

Cerraduras inteligentes:

Configuración crítica:
✓ Códigos PIN únicos para cada usuario
✓ Códigos temporales para servicios
✓ Backup físico (llave tradicional)
✓ Configurar alertas inmediatas
✓ Limitar intentos de acceso fallidos
✓ Registro de accesos detallado

Paso 3: Gestión de contraseñas y autenticación

Sistema de contraseñas robusto

Reglas básicas:

Longitud mínima: 16 caracteres para dispositivos críticos
Unicidad: Contraseña diferente para cada dispositivo
Complejidad: Mayúsculas, minúsculas, números, símbolos
Gestión: Usar gestor de contraseñas profesional

Plantilla de contraseña segura:

Formato: [Palabra base][Dispositivo][Números][Símbolos]
Ejemplo: SecureSmart-Camera2025-!#
         MiCasa-Termo2025-$%
         Hogar-Lock2025-&*

Autenticación de dos factores (2FA)

Implementación por prioridad:

Nivel 1 - CRÍTICO (2FA obligatorio):

Aplicaciones principales (Google Home, Alexa, SmartThings)
Servicios cloud de cámaras de seguridad
Apps de cerraduras inteligentes
Plataformas de gestión central (Home Assistant, Hubitat)

Nivel 2 - IMPORTANTE (2FA recomendado):

Apps de dispositivos individuales
Servicios de almacenamiento cloud
Apps de control parental
Servicios de automatización (IFTTT, Zapier)

Configuración 2FA paso a paso:

Descargar app autenticadora (Authy, Google Authenticator)
Activar 2FA en configuración de cuenta
Guardar códigos de backup en lugar seguro
Probar funcionamiento antes de cerrar sesión

Paso 4: Monitorización y mantenimiento

Auditoría de seguridad mensual

Primera semana del mes:

Revisar dispositivos conectados en router
Verificar actualizaciones pendientes
Comprobar logs de acceso anómalos
Revisar permisos de aplicaciones móviles

Checklist mensual:

□ Lista dispositivos activos vs inventario
□ Verificar IPs asignadas esperadas
□ Comprobar ancho de banda por dispositivo
□ Revisar intentos de acceso fallidos
□ Verificar certificados SSL vigentes
□ Comprobar copias de seguridad configuraciones

Herramientas de monitorización

Nivel básico (gratuito):

Router logs: Revisar conexiones y tráfico
Apps móviles: Verificar estados y alertas
Fing (app): Escanear dispositivos en red
WiFi Analyzer: Detectar interferencias

Nivel avanzado (inversión recomendada):

UniFi Dream Machine (€379): Monitorización profesional
Pi-hole (€50 Raspberry Pi): Bloqueo DNS + logs
Wireshark: Análisis tráfico de red detallado
SIEM básico: Correlación de eventos (Security Onion)

Protocolo de respuesta a incidentes

Si detectas actividad sospechosa:

Acción inmediata (primeros 10 minutos):

Desconectar dispositivo sospechoso de red
Cambiar contraseñas de dispositivos críticos
Verificar otros dispositivos en red
Documentar evidencia (screenshots, logs)

Acción a corto plazo (1-24 horas):

Analizar logs de router y dispositivos
Verificar accesos remotos no autorizados
Cambiar contraseñas de servicios cloud
Contactar soporte técnico si es necesario

Acción a medio plazo (1-7 días):

Revisar configuraciones de seguridad completas
Actualizar firmware de todos los dispositivos
Implementar medidas adicionales si son necesarias
Documentar lecciones aprendidas

Protección de datos y privacidad

Minimización de datos en cloud

Principio de datos mínimos

Antes de enviar datos al cloud pregúntate:

¿Es realmente necesario que este dato salga de mi casa?
¿Puedo procesar localmente esta información?
¿Qué pasa si esta empresa desaparece o cambia políticas?
¿Tengo control sobre el borrado de mis datos?

Alternativas locales a servicios cloud

Procesamiento local vs cloud:

Función	Solución Cloud	Alternativa Local	Ventaja Local
Análisis video	Google Nest	Frigate + Home Assistant	Datos nunca salen de casa
Control por voz	Alexa/Google	Rhasspy/Mycroft	Sin envío audio a terceros
Automatizaciones	SmartThings Cloud	Home Assistant	Control total lógica
Almacenamiento cámaras	Ring Cloud	NAS local	Sin costes recurrentes

Configuración privacy-first

Revisión de permisos de aplicaciones

Permisos que NUNCA deberías conceder a apps IoT:

Acceso a contactos (salvo justificación específica)
Acceso a galería de fotos completa
Localización cuando app no está en uso
Acceso a micrófono para apps sin función de audio
Modificación de configuraciones del sistema

Auditoría trimestral de permisos:

Android: Configuración → Apps → [App domótica] → Permisos
iOS: Configuración → Privacidad → [Categoría] → [App]

Revisar y revocar:
□ Permisos no utilizados activamente
□ Ubicación "siempre" → cambiar a "mientras se usa"
□ Acceso a datos innecesarios
□ Notificaciones excesivas

Configuración DNS para privacidad

Opciones de DNS privacy-friendly:

Proveedor	DNS Primario	DNS Secundario	Característica
Cloudflare	1.1.1.1	1.0.0.1	Velocidad + no logging
Quad9	9.9.9.9	149.112.112.112	Bloqueo malware
AdGuard	94.140.14.14	94.140.15.15	Bloqueo ads + trackers
Pi-hole local	IP local	1.1.1.1	Control total consultas

Configuración en router:

Acceder panel administración router
Buscar configuración DNS/WAN
Cambiar de “Automático” a “Manual”
Introducir DNS elegido
Reiniciar router y verificar funcionamiento

Gestión de datos existentes

Inventario de datos almacenados

Auditoría de servicios cloud actuales:

Por cada servicio utilizado, documenta:

¿Qué datos almacena? (video, audio, patrones uso)
¿Dónde se procesan? (país, empresa)
¿Cómo acceder/descargar datos?
¿Cómo borrar cuenta completamente?
¿Se comparten datos con terceros?

Plantilla de inventario:

Servicio: Google Nest
Datos: Video cámaras, audio, ubicaciones, rutinas
Descarga: Google Takeout
Borrado: accounts.google.com/delete
Retención: 30 días post-borrado
Terceros: Posible compartición anónima

Derechos que puedes ejercer:

Acceso: Solicitar copia de todos tus datos
Rectificación: Corregir datos incorrectos
Portabilidad: Obtener datos en formato estándar
Borrado: Eliminar todos los datos (“derecho al olvido”)
Limitación: Restringir procesamiento

Cómo ejercer derechos:

Identificar servicios que procesan tus datos
Buscar “Privacy Policy” o “Política de Privacidad”
Seguir procedimiento específico cada empresa
Documentar solicitudes y respuestas
Reclamar si no responden en 30 días

Planes de contingencia y backup

Backup de configuraciones

Respaldo automático de configuraciones

Elementos críticos a respaldar:

Configuraciones de router (export settings)
Configuraciones de hubs centrales (Home Assistant, SmartThings)
Lista de dispositivos y sus configuraciones
Automatizaciones y escenas configuradas
Contraseñas y credenciales (gestor de contraseñas)

Estrategia 3-2-1 para domótica:

3 copias: Original + 2 backups
2 medios: Local (NAS) + Cloud cifrado
1 offsite: Backup en ubicación diferente

Configuración backup automático:

Home Assistant ejemplo:
1. Configurar addon "Auto Backup"
2. Programar backup diario a NAS local
3. Sincronizar NAS con cloud cifrado (rclone)
4. Verificar integridad backups semanalmente

Plan de recuperación ante compromiso

Protocolo de recuperación completa

Si sospechas compromiso masivo del sistema:

Fase 1 - Aislamiento (0-30 minutos):

Desconectar router de Internet
Documentar estado actual (fotos, logs)
Identificar dispositivos potencialmente comprometidos
Aislar dispositivos críticos (cámaras, cerraduras)

Fase 2 - Evaluación (30 minutos - 2 horas):

Analizar logs de dispositivos y router
Verificar accesos no autorizados a cuentas cloud
Revisar actividad financiera sospechosa
Contactar soporte técnico si es necesario

Fase 3 - Recuperación (2-24 horas):

Reset factory de dispositivos comprometidos
Cambio masivo de contraseñas
Reconfiguración desde backup verificado
Actualización firmware todos los dispositivos

Fase 4 - Fortalecimiento (1-7 días):

Implementar medidas de seguridad adicionales
Revisar y mejorar políticas de seguridad
Configurar monitorización mejorada
Documentar lecciones aprendidas

Comunicación de crisis

Plan de comunicación familiar

Preparación familiar:

Todos los miembros conocen contraseñas de emergencia
Procedimientos para situaciones sin electricidad/Internet
Contactos de emergencia fuera del sistema domótico
Ubicación de llaves físicas y códigos backup

Protocolo de notificación:

Nivel 1 - Informativo: Notificación app
Nivel 2 - Precaución: SMS + notificación
Nivel 3 - Crítico: Llamada + SMS + notificación

Ejemplos:
Nivel 1: "Sensor puerta principal activado 14:23"
Nivel 2: "Múltiples intentos acceso fallidos cerradura"
Nivel 3: "Sistema de seguridad comprometido - verificar inmediatamente"

Selección de productos con enfoque en seguridad

Criterios de evaluación de seguridad

Checklist de seguridad para nuevos dispositivos

Antes de comprar, verifica:

Soporte técnico y actualizaciones:

¿Empresa con historial de actualizaciones regulares?
¿Soporte técnico durante al menos 3-5 años?
¿Actualizaciones automáticas disponibles?
¿Comunicación transparente sobre vulnerabilidades?

Configuración y privacidad:

¿Permite cambiar contraseñas por defecto?
¿Funciona sin conexión a Internet?
¿Datos procesados localmente vs cloud?
¿Certificaciones de seguridad disponibles?

Protocolo y compatibilidad:

¿Compatible con tu protocolo principal?
¿Funciona con hubs locales (Home Assistant)?
¿Cifrado robusto en comunicaciones?
¿API abierta o cerrada?

Marcas y productos recomendados por seguridad

Ranking de seguridad por categorías

Categoría: Iluminación inteligente

Posición	Marca/Producto	Puntuación Seguridad	Razón principal
🥇 1º	Philips Hue	9/10	Actualizaciones regulares, protocolo Zigbee, funciona offline
🥈 2º	IKEA Trådfri	8/10	Zigbee, precio, actualizaciones automáticas
🥉 3º	TP-Link Kasa	7/10	Configuración local opcional, buen soporte
⚠️ Evitar	Marcas genéricas	3/10	Sin actualizaciones, protocolos inseguros

Categoría: Cámaras de seguridad

Posición	Marca/Producto	Puntuación Seguridad	Razón principal
🥇 1º	UniFi Protect	10/10	100% local, profesional, sin cloud obligatorio
🥈 2º	Reolink (PoE)	8/10	Grabación local, sin cloud forzado
🥉 3º	Aqara G3	7/10	Hub local, compatibilidad Home Assistant
⚠️ Evitar	Ring, Wyze cloud	4/10	Dependencia cloud, historial vulnerabilidades

Categoría: Hubs centrales

Posición	Marca/Producto	Puntuación Seguridad	Razón principal
🥇 1º	Home Assistant	10/10	Control total, local, open source
🥈 2º	Hubitat Elevation	9/10	Procesamiento local, actualizaciones regulares
🥉 3º	SmartThings v3	6/10	Híbrido local/cloud, Samsung respaldo
⚠️ Evitar	Hubs cloud-only	3/10	Dependencia Internet, control limitado

Inversión en seguridad vs funcionalidad

Presupuesto recomendado para seguridad

Regla 80/20 en presupuesto domótico:

80% dispositivos funcionales (iluminación, climatización, etc.)
20% infraestructura seguridad (router profesional, NAS, monitoring)

Ejemplo presupuesto €2,000 sistema completo:

€1,600 dispositivos funcionales
- Iluminación inteligente: €400
- Climatización: €300
- Sensores y automatización: €600
- Entretenimiento: €300
€400 infraestructura seguridad
- Router WiFi 6 profesional: €150
- NAS básico para backups: €200
- Software/suscripciones: €50

ROI de inversión en seguridad

Coste evitado vs inversión:

Riesgo evitado	Coste potencial	Inversión prevención	ROI
Robo por cámaras hack	€5,000-50,000	€200 cámaras locales	25-250x
Manipulación cerraduras	€1,000-10,000	€50 configuración correcta	20-200x
Robo datos personales	€500-5,000	€100 segregación red	5-50x
Sabotaje climatización	€200-2,000	€30 contraseñas fuertes	7-67x

Legislación y cumplimiento normativo

Marco legal español para IoT doméstico

Normativas aplicables

GDPR (Reglamento General de Protección de Datos):

Aplica a todos los dispositivos que procesen datos personales
Derecho a acceso, rectificación y borrado de datos
Obligación de cifrado y medidas técnicas apropiadas
Notificación de brechas de datos en 72 horas

Ley Orgánica 3/2018 (LOPDGDD):

Transpone GDPR al ordenamiento español
Sanciones específicas para tratamiento datos sin consentimiento
Derechos adicionales para menores de edad

Responsabilidades del usuario

Como propietario de hogar inteligente eres responsable de:

Configurar dispositivos siguiendo principios de privacidad por diseño
Informar a invitados sobre dispositivos de grabación
Proteger datos de menores con medidas adicionales
No grabar espacios públicos desde cámaras privadas

Obligaciones legales específicas:

OBLIGATORIO:
✓ Cartel informativo si hay cámaras visibles desde vía pública
✓ Consentimiento explícito para grabar invitados
✓ Configurar retención de datos proporcional
✓ Medidas de seguridad apropiadas al riesgo

PROHIBIDO:
✗ Grabar viviendas vecinas
✗ Grabar vía pública sin autorización
✗ Compartir grabaciones sin consentimiento
✗ Mantener datos sin finalidad específica

Seguros y domótica

Implicaciones en seguros del hogar

Comunicación con aseguradora:

Notificar instalación sistemas de seguridad (descuentos posibles)
Verificar cobertura en caso de hackeo/sabotaje
Documentar medidas de seguridad implementadas
Mantener evidencia de mantenimiento regular

Cláusulas a revisar:

Cobertura por ciberataques y sabotaje digital
Exclusiones por “negligencia en seguridad informática”
Requisitos específicos para sistemas conectados
Procedimientos de reclamación por incidentes IoT

Conclusión: Seguridad como inversión, no como gasto

La seguridad en domótica no es opcional: es tu seguro de vida digital. Cada euro invertido en proteger tu hogar inteligente puede ahorrarte miles en problemas futuros.

Tu plan de acción inmediato

Esta semana (5 horas máximo):

Evalúa tu riesgo actual con el test de seguridad
Cambia contraseñas por defecto de dispositivos críticos
Configura red separada para dispositivos IoT
Activa 2FA en aplicaciones principales

Este mes (10 horas máximo):

Actualiza firmware de todos los dispositivos
Configura backups automáticos de configuraciones
Implementa monitorización básica de red
Documenta tu sistema para emergencias

Este trimestre (planificación a largo plazo):

Evalúa reemplazo de dispositivos inseguros
Considera migración a soluciones más locales
Revisa y actualiza políticas de seguridad familiares
Programa auditorías regulares trimestrales

El equilibrio perfecto: seguridad sin complicaciones

Recuerda: la mejor seguridad es la que se mantiene activa porque es fácil de usar. No busques la perfección absoluta que nadie mantendrá, sino un sistema robusto que puedas sostener en el tiempo.

La domótica debe simplificar tu vida, no complicártela. Con estas medidas, disfrutarás de un hogar inteligente que es realmente inteligente: funcional Y seguro.

¿Necesitas profundizar en aspectos específicos? Consulta nuestras guías sobre tecnologías domóticas o descubre qué dispositivos de seguridad son más adecuados para tu hogar.