Esta tecnología ya no es un tema de nicho ni exclusivo de aquellos con conocimientos técnicos en tecnología. El IoT forma parte de la vida cotidiana de millones de personas y afecta directamente a la seguridad de nuestros hogares.
Los datos más recientes indican que, en promedio, un hogar conectado en una gran ciudad puede llegar a sufrir algo más de 20 intentos de ciberataque al día, una cifra que prácticamente se ha triplicado en el último año. Aunque muchos de estos dispositivos parecen inofensivos, como ocurre con las bombillas o altavoces inteligentes, deben estar conectados a la red de nuestro hogar para funcionar sin limitaciones. Si bien las empresas trabajan continuamente para garantizar que la información que circula por estos dispositivos esté completamente protegida, los ataques también se vuelven cada vez más sofisticados, y cualquier pequeña vulnerabilidad puede acabar siendo explotada por alguien ajeno a nosotros.
Gran parte de los incidentes que salen a la luz no se deben a vulnerabilidades técnicas de los propios equipos, sino más bien a errores básicos de configuración que podemos cometer al momento de instalarlo en nuestro hogar. El problema más comun que identifica el INCIBE, nuestro Instituto Nacional de Ciberseguridad, es la falta de segmentación de la red doméstica.

Si lo pensamos, la mayor parte de nosotros mantenemos todos los dispositivos conectados a la misma red WiFi, por lo que, en el caso de que un atacante lograse acceder a uno de ellos, tendria la capacidad de comprometer el resto de equipos. Por suerte, la solución suele ser tan simple como configurar correctamente nuestro router y agrupar los dispositivos en diferentes niveles de confianza.
No obstante, el desafío que plantea la tecnología IoT no se limita a los ataques externos que pudiésemos sufrir como consumidores. Existe una preocupación creciente en el tratamiento que reciben los datos personales que recopilan los propios dispositivos, y la Agencia Española de Protección de Datos ha advertido del riesgo de la elaboración de perfiles, una práctica que pueden aplicar las empresas para analizar los hábitos de los usuarios a partir de los datos recogidos por los equipos conectados a la red.
Para poner en situación, hay que tener en cuenta que cada dispositivo genera información sobre nuestras rutinas: a qué hora encendemos las luces, qué tipo de música escuchamos, los horarios en los que salimos de casa… Cuando se combina toda esta información, se obtiene un retrato bastante detallado de la vida de una persona. En muchos casos, los propios consumidores no son conscientes de esto; si bien no es un ataque que ponga en riesgo nuestra seguridad, es probable que gran parte de ellos no esté de acuerdo con el uso intensivo (y a veces invasivo) de los datos personales con fines comerciales.

Es en este contexto cuando la frontera entre ofrecer un producto personalizado y vulnerar la privacidad del usuario es cada vez más difusa.
El marco normativo que redefine la seguridad de los dispositivos
La Unión Europea ha optado por actuar con firmeza ante la situación, y ha establecido dos normas clave que marcarán un antes y un después en el sector: la Ley de Ciberresiliencia (CRA), y la Directiva de Equipos de Radio (RED).
La Ley de Ciberresiliencia establece que la seguridad de todo dispositivo debe incorporarse desde el diseño del propio producto. Esta ley busca poner fin a la práctica de lanzar dispositivos y corregir fallos de seguridad en actualizaciones posteriores. Una vez entre en vigor (lo cual se espera para 2027), los fabricantes serán los responsables de la seguridad durante todo el ciclo de vida del producto, algo con lo que todos salimos ganando.
Por su parte, la Directiva de Equipos de Radio introdujo a mediados de 2025 nuevos requisitos en lo relativo a la ciberseguridad. A partir de esta fecha, cualquier dispositivo que no garantice adecuadamente la protección de los datos y la privacidad de los usuarios no podrá ser comercializado dentro del mercado europeo.

Estos cambios, más allá de una simple cuestión normativa, suponen un giro profundo en el modelo tecnológico vigente. Durante muchos años, la mayoría de los dispositivos conectados han dependido de la nube, ya que se limitaban a recoger datos y enviarlos a servidores externos para que la inteligencia artificial los procesara.
Este enfoque ya no encaja del todo con los nuevos requisitos de la Unión Europea, pues expone los datos a múltiples riesgos de seguridad, genera dependencia de la conexión a Internet y mantiene información sensible en tránsito constante.
De la exigencia legal a la oportunidad de mercado
Aunque todo esto pueda sonar a que solo son “más leyes que cumplir”, en realidad representa una oportunidad estratégica. Cumplir con la CRA y la RED desde un inicio, además de ayudar a evitar sanciones, facilita que una empresa pueda diferenciarse en el mercado, ofreciendo productos percibidos como seguros y fiables por los usuarios.
En la actualidad, pasamos la mayor parte de nuestros día conectados, ya sea por trabajo o por ocio, y como consumidores esperamos poder confiar en nuestros dispositivos. Al fin y al cabo, los hogares inteligentes y el ecosistema IoT en general solo prosperarán a largo plazo si ofrecen garantías reales de privacidad y protección de datos.




