Una noche escuché una voz extraña saliendo del monitor de mi bebé. No era interferencia. Era alguien hablando español con acento extranjero, intentando asustar a mi hijo de dos años. Llevaban días accediendo sin que lo supiera.

Antes del incidente

Compré el monitor porque tenía buenas reseñas en Amazon. Conexión WiFi, visión nocturna, audio bidireccional. Lo configuré usando la app predeterminada. La contraseña era el nombre de mi hijo más "2023". Parecía suficientemente personal.

Activé acceso desde internet para revisarlo en el trabajo. El dispositivo usaba protocolo P2P sin cifrado robusto. No revisé configuración de privacidad porque las opciones técnicas me confundían. Asumí que el fabricante protegería datos sensibles por defecto.

Después del susto

Eliminé el monitor inmediatamente. Compré uno nuevo de fabricante con certificación de seguridad verificable. Esta vez sin conexión internet, solo red local con cifrado WPA3. Implementé MAC filtering en el router permitiendo únicamente dispositivos autorizados.

Creé checklist de configuración para cualquier dispositivo IoT nuevo: deshabilitar servicios innecesarios, cambiar credenciales predeterminadas, verificar cifrado de datos, limitar permisos de app móvil, revisar política de privacidad del fabricante.

Instalé Pi-hole bloqueando tráfico hacia dominios sospechosos. Configuro auditorías mensuales revisando qué dispositivos se conectan y hacia dónde envían datos.

Aprendí que "conveniente" y "seguro" raramente van juntos en IoT. Priorizar acceso remoto sobre protección fue negligente. Ahora la pregunta es siempre: ¿realmente necesito este dispositivo conectado a internet? Generalmente la respuesta es no.