Recibí un correo de mi proveedor de internet advirtiendo actividad maliciosa desde mi IP. Imposible, pensé. Tengo antivirus actualizado. Resultó ser mi termostato inteligente, infectado y participando en ataques DDoS contra servidores bancarios.

Antes del problema

El termostato costó 89 euros en Black Friday. Lo conecté siguiendo instrucciones básicas del fabricante. Nunca cambié el usuario "admin" ni la contraseña "1234". La app móvil funcionaba perfectamente para controlar temperatura desde cualquier sitio. Creí que los dispositivos IoT venían seguros de fábrica.

No segregué la red. Todos los dispositivos compartían el mismo WiFi: móviles, portátiles, televisión, termostato. Sonaba conveniente tener todo conectado. El puerto 23 (Telnet) estaba abierto sin que yo lo supiera.

Después de la infección

Implementé segmentación de red usando VLANs. Los dispositivos IoT viven en su propia red sin acceso a equipos principales. Bloqueé puertos innecesarios en el firewall: Telnet, FTP, servicios que estos dispositivos no necesitan.

Configuré monitoreo de tráfico con alertas automáticas. Si algún dispositivo genera más de 500MB diarios, recibo notificación. Cambio contraseñas trimestralmente usando gestor de claves.

Investigué antes de comprar nuevos dispositivos. Ahora verifico historial de actualizaciones del fabricante, busco auditorías de seguridad independientes, leo foros técnicos sobre vulnerabilidades conocidas.

El termostato infectado comprometió potencialmente datos bancarios de miles de personas. Aunque yo no era responsable legalmente, éticamente me sentí terrible. La seguridad IoT afecta a otros, no solo a ti.