Cómo proteger tu hogar inteligente de hackeos y fallos de seguridad

Lección 18 del Curso de Domótica Gratis “Domótica en 5 minutos”.

👉 Ver índice completo del curso

Respuesta rápida: la seguridad de tu smart home se basa en cinco pilares: 1) red bien configurada (Wi-Fi, invitados/VLAN, sin puertos abiertos), 2) actualizaciones de firmware/OS, 3) contraseñas fuertes + 2FA, 4) mínima exposición a Internet (control local siempre que puedas), y 5) buenas prácticas (backups, inventario, alertas). Siguiendo esta guía, blindas el 90% de los vectores habituales.

Contenidos mostrar

En esta guía vas a ver amenazas reales, configuraciones recomendadas del router, cuándo usar red de invitados o VLANs, cómo endurecer Home Assistant y cámaras, qué hacer con UPnP y port forwarding, y un plan de respuesta si algo sale mal. Incluyo checklist imprimible y automatizaciones útiles para detectar incidentes.

Amenazas reales (sin drama, pero claras)

  • Credenciales débiles o reutilizadas: ataques de fuerza bruta/filtraciones previas.
  • Puertos abiertos: exposición directa de cámaras, NAS o HA a Internet.
  • Firmware obsoleto: vulnerabilidades conocidas sin parche.
  • IoT barato y sin soporte: apps invasivas, telemetría excesiva, backends poco cuidados.
  • Red Wi-Fi saturada o mal segmentada: un IoT comprometido como puerta de entrada al resto.

Pilar 1 — Red segura (la base de todo)

1) Router y Wi-Fi: configuración mínima

  • Actualiza el firmware del router/puntos de acceso.
  • WPA2/WPA3; desactiva WPS. SSID propio y contraseña fuerte.
  • Canales fijos y potencia adecuada para 2,4 GHz si tienes muchos IoT (evita interferencias).
  • Desactiva UPnP (o restringe su uso). Evitas apertura automática de puertos.
  • Nunca expongas tu domótica con port forwarding directo. Si necesitas acceso remoto, usa VPN o servicios de túnel con autenticación robusta.

2) Segmentación: invitados/VLAN (según tu nivel)

  • Opción simple: crea Red de Invitados solo para IoT. Activa “permitir comunicación con la red principal” solo para el hub/servidor que lo necesite.
  • Opción avanzada: VLAN IoT, VLAN Personal y (opcional) VLAN Cámaras. Reglas de firewall: IoT → Internet permitido, IoT → LAN bloqueado salvo excepciones (tu HA, NVR, etc.).
  • MDNS/Discovery: si separas redes, valora servicios mDNS reflector/Bonjour proxy para descubrimiento controlado.

👉 Si aún no la tienes optimizada, revisa la guía previa: Cómo configurar tu Wi-Fi para domótica.

Pilar 2 — Cuentas, contraseñas y 2FA

  • Gestor de contraseñas (Bitwarden/1Password/KeePass). Nada de post-its.
  • Contraseñas únicas y largas (≥16) para router, HA, cámaras, apps y nube.
  • 2FA en todas las cuentas que lo soporten (Google/Amazon/Apple, nubes de fabricantes, GitHub, etc.).
  • Usuarios por persona (no compartas admin), y roles con el mínimo privilegio necesario.

Pilar 3 — Actualizaciones y origen fiable

  • Firmware al día en router, hubs, cámaras, relés/interruptores, sensores (si aplicable).
  • Home Assistant: core, addons y supervisor actualizados tras esperar 24-48 h si quieres evitar bugs.
  • Tiendas oficiales y marcas con track-record de parches. Evita “white-label” sin soporte.

Pilar 4 — Mínima exposición a Internet

  • Evita port-forwarding de HA, cámaras o NVR. Acceso remoto por VPN (WireGuard/OpenVPN) o túneles con autenticación fuerte.
  • Prefiere control local (Zigbee/Thread/Matter, integraciones locales en HA). Menos latencia y menos superficie de ataque.
  • Deshabilita servicios innecesarios en dispositivos (Telnet/FTP/HTTP sin cifrar).

Pilar 5 — Buenas prácticas que marcan la diferencia

  • Inventario de dispositivos (marca/modelo/MAC/IP/firmware/protocolo). Úsalo para auditorías rápidas.
  • Backups programados (HA completo y NVR). Copia 3-2-1: tres copias, dos medios, una fuera.
  • Alertas (notificaciones) si hay logins fallidos, dispositivos offline, consumo anómalo o cambios de IP.
  • DNS seguro (DoT/DoH en router o Pi-hole) y bloqueo de dominios sospechosos.

Endurecer Home Assistant (lo esencial)

  • Usuarios: desactiva “permitir usuarios anónimos”. Cuentas por persona, 2FA, y contraseña de administrador robusta.
  • Red: sin exposición directa a Internet. Si usas Nabu Casa, activa 2FA y revisa permisos compartidos.
  • Add-ons: instala solo los necesarios; actualiza y elimina los que no uses.
  • Backups automáticos (con snapshots cifrados). Prueba la restauración cada cierto tiempo.
  • Registro/Auditoría: habilita logs y notificaciones ante cambios críticos (integraciones, usuarios, automatizaciones).

Cámaras y timbres: puntos calientes

  • RTSP local siempre que sea posible. Evita nubes obligatorias.
  • Contraseñas únicas, 2FA si el proveedor lo permite, y desactivar UPnP en la app si intenta abrir puertos.
  • Segmentación: cámaras en VLAN/Invitados y acceso solo desde NVR/HA.
  • Notificaciones ante detectores de movimiento/persona con zonas para evitar falsos positivos.

Automatizaciones útiles de seguridad

  • Alerta de login fallido: si HA registra ≥3 intentos fallidos en 5 min → notifica al móvil y enciende una luz roja (escena de alerta).
  • Dispositivo IoT “mudo”: si cámara/sensor está offline > 10 min → notifica y reinicia enchufe inteligente del AP/bridge asociado.
  • Consumo anómalo en NVR/Router: si potencia > umbral habitual por 10 min → notifica (posible proceso atípico).
  • Geovalla: si nadie en casa → cierra accesos remotos (túnel parado) y desactiva dashboards públicos.

Errores comunes (y cómo evitarlos)

  • Abrir puertos “porque lo pide un tutorial”. Usa VPN o Nabu Casa; jamás expongas HA/cámaras sin capa segura.
  • Reutilizar contraseñas. Una filtración en un foro arruina todo el castillo.
  • Ignorar updates. El parche que no aplicas es la puerta que dejas abierta.
  • IoT en la misma LAN que tus ordenadores. Segmenta aunque sea con la red de invitados.

Checklist imprimible (pásala cada 3–6 meses)

  1. Router y APs actualizados; WPA2/WPA3, WPS desactivado, UPnP off.
  2. IoT en Invitados/VLAN; excepciones finas solo a HA/NVR.
  3. Sin puertos abiertos a Internet; acceso remoto por VPN o servicio seguro.
  4. Firmware de cámaras/hubs/relés/sensores al día.
  5. Contraseñas únicas + 2FA en todo; usuarios por persona.
  6. Backups automáticos verificados (HA/NVR), con copia externa.
  7. Alertas configuradas (login fallido, offline, consumo anómalo).
  8. Inventario actualizado (modelo/MAC/firmware/protocolo/ubicación).

Contenido Adicional

Preguntas frecuentes

¿Es seguro exponer Home Assistant con port forwarding si uso contraseña fuerte?

No es buena idea. Incluso con contraseña fuerte, sigues expuesto a exploits de día cero o a bots que prueban credenciales filtradas. Usa VPN o Nabu Casa con 2FA.

¿Red de invitados basta o necesito VLANs?

Para la mayoría, la red de invitados correctamente configurada es suficiente. Si tienes NVR, NAS, muchos IoT o requisitos avanzados, VLANs te dan más control y seguridad.

¿Qué hago con UPnP?

Desactívalo. Si necesitas un puerto para un servicio concreto, ábrelo manualmente sabiendo exactamente qué expones. Para domótica, mejor cero puertos y acceso por VPN.

¿Cámaras en la nube o locales?

Locales (RTSP/NVR) reducen exposición y latencia. Si usas nube, activa 2FA, revisa permisos y no abras puertos. Segmenta cámaras en su red y actualiza firmware.

Artículo elaborado por Norman, creador del curso “Domótica en 5 minutos” y fundador de Enreta Domótica.

📚 Navega por el curso “Domótica en 5 minutos”

⬅️ Sensores Seguridad

🏠 Índice del Curso

Cámaras y timbres: guía de seguridad ➡️

Scroll al inicio