Panda SecurityLa tecnología ha entrado en nuestras casas, en nuestros coches y en nuestra vida cotidiana. La mayor conectividad ha abierto nuevas brechas de seguridad y la proliferación de los dispositivos conectados. Desde electrodomésticos inteligentes hasta la nueva baliza V16. Ampliando la superficie de exposición de nuestros datos. Y, obligando a replantear las estrategias de protección en un entorno cada vez más digitalizado.
Tu casa inteligente abre la puerta a los ciberdelincuentes
Una familia regresa de un fin de semana de descanso y encuentra su vivienda con la puerta abierta de par en par y completamente desvalijada. No es el argumento de una película de serie B, sino un caso real que el Instituto Nacional de Ciberseguridad (INCIBE) publicó hace unos años para alertar sobre la importancia de proteger adecuadamente una smart home.
Desde entonces, lejos de reducirse, el riesgo se ha multiplicado. En España, las brechas de seguridad derivadas del Internet de las Cosas (IoT) superan en más de dos puntos la media de la Unión Europea. Según la edición 2025 del estudio Internet de las cosas en los hogares españoles, elaborado por Ontsi, el 6,6% de los usuarios de dispositivos conectados ha experimentado problemas de seguridad o privacidad. Frente al 4,4% de la media europea.
“El Internet de las cosas conecta el mundo digital con el mundo físico y personal”, subraya Hervé Lambert, Global Consumer Operation Manager de Panda Security. El robot aspirador que se activa cada mañana, el frigorífico que sugiere la lista de la compra, el termostato que regula la temperatura. O las luces que se apagan cuando no detectan presencia son ejemplos de tecnologías que facilitan la vida cotidiana. Sin embargo, “si no están correctamente configuradas y securizadas, pueden convertirse en herramientas para monitorizar nuestra actividad y descifrar patrones de comportamiento. Hasta el punto de determinar cuándo una vivienda está desocupada”, advierte el experto. Porque, recuerda, “un fallo en cualquiera de estos dispositivos no solo expone datos, sino que revela hábitos, rutinas y espacios privados”.
Eso fue precisamente lo que ocurrió en el caso documentado por el INCIBE. Los ciberdelincuentes detectaron la ausencia de actividad en uno de los dispositivos domésticos habituales y dedujeron que la familia se encontraba fuera, lo que les permitió actuar con total impunidad.
La baliza V16 y los nuevos riesgos de la movilidad conectada
Este mismo debate se traslada ahora al ámbito de la movilidad conectada con la implantación de la baliza V16, obligatoria desde el pasado 1 de enero en todos los vehículos. Estos dispositivos, concebidos para mejorar la seguridad vial y reducir atropellos en carretera, incorporan conectividad que permite transmitir la ubicación del vehículo en tiempo real. Aunque el sistema ha sido diseñado con medidas de anonimización, diversas voces han alertado de los riesgos potenciales para la privacidad que supone la recopilación masiva de datos de localización.
“El problema no reside tanto en el uso puntual de esta información, sino en la posibilidad de que, a través de un acceso indebido, una brecha de seguridad o un uso poco transparente, se puedan inferir patrones de movilidad, rutinas diarias o situaciones de vulnerabilidad”, dice el directivo de Panda Security.
Del mismo modo que un robot aspirador puede revelar cuándo una casa está vacía, una baliza conectada puede aportar información sensible sobre desplazamientos, horarios y localizaciones frecuentes, ampliando así la superficie de exposición del ciudadano. Por no hablar de la facilidad para los fraudes oportunistas, entre los que destaca el de las grúas falsas, “una práctica en la que delincuentes se presentan en el lugar de la avería haciéndose pasar por servicios de asistencia, aprovechando la vulnerabilidad del conductor para cobrar servicios inexistentes o incluso sustraer el vehículo”, avisa Lambert.
Vulnerabilidades que se repiten
En el último año, “los ciberataques a través del IoT en España se han centrado principalmente en la explotación de dispositivos domésticos y de pequeña empresa mal configurados o sin actualizar. Como routers, cámaras IP, grabadores de vídeo y sistemas domóticos”, señala el experto de Panda Security. Quien, además, advierte de que estos equipos “presumiblemente han sido utilizados como la puerta de entrada a redes internas para integrarlos en botnets destinadas a lanzar ataques masivos de denegación de servicio (DDoS)”.
Según alertas del INCIBE-CERT, la mayoría de estos ataques aprovechan vulnerabilidades ya conocidas o credenciales por defecto. “Lo que demuestra que el principal riesgo no reside en técnicas avanzadas, sino en la falta de medidas básicas de seguridad”, apunta Lambert. Este contexto confirma que el crecimiento del hogar inteligente y los dispositivos conectados ha ampliado considerablemente la superficie de ataque, convirtiendo la ciberseguridad doméstica en una necesidad real y urgente.
Medidas básicas para evitar estos riesgos
“Por eso lo más eficaz para evitar estos riesgos es la prevención”, dice el directivo de Panda Security. Y es que, la mayoría de los incidentes asociados al internet de las cosas no se producen por ataques altamente sofisticados, sino por fallos básicos de configuración y mantenimiento que podrían haberse evitado con unas mínimas pautas de seguridad.
“Entre las principales recomendaciones está la segmentación de la red doméstica”, asegura Lambert. “Separando”, continua, “los dispositivos IoT del resto de equipos personales y profesionales”. De este modo, aunque uno de estos aparatos resulte comprometido, la capacidad del atacante se limita. Y, también se frena la posibilidad de que pueda moverse lateralmente dentro de la Red.
“También es fundamental cambiar las contraseñas por defecto. Empleando claves robustas y únicas para cada dispositivo. Y, siempre que sea posible, activar mecanismos de autenticación adicional en las plataformas asociadas”, indica.
La actualización periódica del firmware es otro de los pilares básicos. “Muchos fabricantes corrigen vulnerabilidades críticas mediante parches que los usuarios no instalan. Ya sea por desconocimiento o por comodidad, dejando así abiertas brechas ampliamente documentadas”, desvela Lambert. Del mismo modo, “conviene revisar los permisos concedidos a las aplicaciones móviles, desactivar funciones innecesarias y limitar la recopilación de datos al mínimo imprescindible”.
En el caso concreto de la baliza V16, “es importante que los sistemas de transmisión y tratamiento de la información incorporen garantías técnicas, legales y organizativas al más alto nivel. Con especial atención a la protección de los datos de localización”, dice el directivo de Panda Security. La transparencia en el uso de la información, la minimización de los datos recogidos y el control estricto de los accesos resultan esenciales para evitar abusos y generar confianza en el ciudadano.
Cómo debemos actuar ante un fallo de seguridad o una pérdida de control
Sin embargo, si un usuario detecta un comportamiento anómalo en alguno de sus dispositivos conectados. “Como activaciones inesperadas, cambios en la configuración, accesos no reconocidos o un consumo de datos inusual”, enumera Lambert. “Lo fundamental es actuar rápido”, sentencia.
El primer paso siempre será desconectar el dispositivo de la red, cambiar inmediatamente las contraseñas asociadas y comprobar si existen actualizaciones de seguridad pendientes. “Mientras, conviene revisar también la actividad del router. Y, si es posible, aislar el equipo afectado en una red separada”, señala el experto.
En caso de sospecha fundada de intrusión, también resulta recomendable contactar con el fabricante, recopilar evidencias del incidente y notificarlo al INCIBE a través del servicio 017. Ofrece asesoramiento gratuito en materia de ciberseguridad. “Si existen indicios de delito, como accesos no autorizados, extorsión o robo de información, debe presentarse la correspondiente denuncia”.
¿Y si un fallo de privacidad acaba en el robo del coche?
En situaciones más graves, como el robo de un vehículo tras una posible filtración de datos de localización, el afectado dispone de derechos legales claros. En primer lugar, debe interponerse denuncia inmediata, aportando cualquier indicio que permita vincular el incidente con un uso indebido de datos personales. “Y presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que ha existido un tratamiento inadecuado, negligente o poco transparente de su información”, dice Lambert.
La normativa europea de protección de datos (RGPD) establece que los responsables del tratamiento están obligados a aplicar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. Si se demuestra una vulneración de estas obligaciones, el afectado podría incluso reclamar una indemnización por los daños y perjuicios sufridos, tanto económicos como morales.
En el caso de la baliza V16, la Dirección General de Tráfico actúa como principal responsable del tratamiento de los datos de localización. Al decidir los fines y medios con los que se recopila, gestiona y distribuye esta información a través de la plataforma DGT 3.0. Los fabricantes de los dispositivos, los operadores de telecomunicaciones y los proveedores tecnológicos participan como encargados del tratamiento, obligados a aplicar medidas estrictas de seguridad. Aunque la DGT y la Agencia Española de Protección de Datos sostienen que no se transmiten datos identificativos directos del conductor, el uso de información de localización en tiempo real plantea importantes desafíos en materia de privacidad. Ya que permite inferir patrones de movilidad y situaciones de vulnerabilidad.
