Ir al contenido principal
Lección 19 de 32
Módulo 4 · Lección 19

Cómo proteger tu hogar inteligente de hackeos y fallos de seguridad

Resumen de la lección

Proteger tu casa inteligente de hackeos es más sencillo de lo que parece si sigues cinco medidas básicas que Norman aplica en su propia instalación. Contraseñas fuertes y únicas con un gestor de contraseñas, firmware actualizado en todos los dispositivos, red WiFi separada (VLAN) para aislar los dispositivos IoT del ordenador y el móvil, marcas con buena reputación en seguridad (Shelly, Aqara, Philips Hue) y domótica local con Home Assistant para que tus datos no salgan de casa. Con 25 años de experiencia en sistemas informáticos, Norman explica cada medida paso a paso para que cualquier persona pueda aplicarlas sin conocimientos avanzados.

En esta guía vas a ver amenazas reales, configuraciones recomendadas del router, cuándo usar red de invitados o VLANs, cómo endurecer Home Assistant y cámaras, qué hacer con UPnP y port forwarding, y un plan de respuesta si algo sale mal. Incluyo checklist imprimible y automatizaciones útiles para detectar incidentes.

Amenazas reales (sin drama, pero claras)

  • Credenciales débiles o reutilizadas: ataques de fuerza bruta/filtraciones previas.
  • Puertos abiertos: exposición directa de cámaras, NAS o HA a Internet.
  • Firmware obsoleto: vulnerabilidades conocidas sin parche.
  • IoT barato y sin soporte: apps invasivas, telemetría excesiva, backends poco cuidados.
  • Red Wi-Fi saturada o mal segmentada: un IoT comprometido como puerta de entrada al resto.

Pilar 1 — Red segura (la base de todo)

1) Router y Wi-Fi: configuración mínima

  • Actualiza el firmware del router/puntos de acceso.
  • WPA2/WPA3; desactiva WPS. SSID propio y contraseña fuerte.
  • Canales fijos y potencia adecuada para 2,4 GHz si tienes muchos IoT (evita interferencias).
  • Desactiva UPnP (o restringe su uso). Evitas apertura automática de puertos.
  • Nunca expongas tu domótica con port forwarding directo. Si necesitas acceso remoto, usa VPN o servicios de túnel con autenticación robusta.

2) Segmentación: invitados/VLAN (según tu nivel)

  • Opción simple: crea Red de Invitados solo para IoT. Activa “permitir comunicación con la red principal” solo para el hub/servidor que lo necesite.
  • Opción avanzada: VLAN IoT, VLAN Personal y (opcional) VLAN Cámaras. Reglas de firewall: IoT → Internet permitido, IoT → LAN bloqueado salvo excepciones (tu HA, NVR, etc.).
  • MDNS/Discovery: si separas redes, valora servicios mDNS reflector/Bonjour proxy para descubrimiento controlado.

Si aún no la tienes optimizada, revisa la guía previa: Cómo configurar tu Wi-Fi para domótica.

Pilar 2 — Cuentas, contraseñas y 2FA

  • Gestor de contraseñas (Bitwarden/1Password/KeePass). Nada de post-its.
  • Contraseñas únicas y largas (≥16) para router, HA, cámaras, apps y nube.
  • 2FA en todas las cuentas que lo soporten (Google/Amazon/Apple, nubes de fabricantes, GitHub, etc.).
  • Usuarios por persona (no compartas admin), y roles con el mínimo privilegio necesario.

Pilar 3 — Actualizaciones y origen fiable

  • Firmware al día en router, hubs, cámaras, relés/interruptores, sensores (si aplicable).
  • Home Assistant: core, addons y supervisor actualizados tras esperar 24-48 h si quieres evitar bugs.
  • Tiendas oficiales y marcas con track-record de parches. Evita “white-label” sin soporte.

Pilar 4 — Mínima exposición a Internet

  • Evita port-forwarding de HA, cámaras o NVR. Acceso remoto por VPN (WireGuard/OpenVPN) o túneles con autenticación fuerte.
  • Prefiere control local (Zigbee/Thread/Matter, integraciones locales en HA). Menos latencia y menos superficie de ataque.
  • Deshabilita servicios innecesarios en dispositivos (Telnet/FTP/HTTP sin cifrar).

Pilar 5 — Buenas prácticas que marcan la diferencia

  • Inventario de dispositivos (marca/modelo/MAC/IP/firmware/protocolo). Úsalo para auditorías rápidas.
  • Backups programados (HA completo y NVR). Copia 3-2-1: tres copias, dos medios, una fuera.
  • Alertas (notificaciones) si hay logins fallidos, dispositivos offline, consumo anómalo o cambios de IP.
  • DNS seguro (DoT/DoH en router o Pi-hole) y bloqueo de dominios sospechosos.

Endurecer Home Assistant (lo esencial)

  • Usuarios: desactiva “permitir usuarios anónimos”. Cuentas por persona, 2FA, y contraseña de administrador robusta.
  • Red: sin exposición directa a Internet. Si usas Nabu Casa, activa 2FA y revisa permisos compartidos.
  • Add-ons: instala solo los necesarios; actualiza y elimina los que no uses.
  • Backups automáticos (con snapshots cifrados). Prueba la restauración cada cierto tiempo.
  • Registro/Auditoría: habilita logs y notificaciones ante cambios críticos (integraciones, usuarios, automatizaciones).

Cámaras y timbres: puntos calientes

  • RTSP local siempre que sea posible. Evita nubes obligatorias.
  • Contraseñas únicas, 2FA si el proveedor lo permite, y desactivar UPnP en la app si intenta abrir puertos.
  • Segmentación: cámaras en VLAN/Invitados y acceso solo desde NVR/HA.
  • Notificaciones ante detectores de movimiento/persona con zonas para evitar falsos positivos.

Automatizaciones útiles de seguridad

  • Alerta de login fallido: si HA registra ≥3 intentos fallidos en 5 min → notifica al móvil y enciende una luz roja (escena de alerta).
  • Dispositivo IoT “mudo”: si cámara/sensor está offline > 10 min → notifica y reinicia enchufe inteligente del AP/bridge asociado.
  • Consumo anómalo en NVR/Router: si potencia > umbral habitual por 10 min → notifica (posible proceso atípico).
  • Geovalla: si nadie en casa → cierra accesos remotos (túnel parado) y desactiva dashboards públicos.

Errores comunes (y cómo evitarlos)

  • Abrir puertos “porque lo pide un tutorial”. Usa VPN o Nabu Casa; jamás expongas HA/cámaras sin capa segura.
  • Reutilizar contraseñas. Una filtración en un foro arruina todo el castillo.
  • Ignorar updates. El parche que no aplicas es la puerta que dejas abierta.
  • IoT en la misma LAN que tus ordenadores. Segmenta aunque sea con la red de invitados.

Checklist imprimible (pásala cada 3–6 meses)

  1. Router y APs actualizados; WPA2/WPA3, WPS desactivado, UPnP off.
  2. IoT en Invitados/VLAN; excepciones finas solo a HA/NVR.
  3. Sin puertos abiertos a Internet; acceso remoto por VPN o servicio seguro.
  4. Firmware de cámaras/hubs/relés/sensores al día.
  5. Contraseñas únicas + 2FA en todo; usuarios por persona.
  6. Backups automáticos verificados (HA/NVR), con copia externa.
  7. Alertas configuradas (login fallido, offline, consumo anómalo).
  8. Inventario actualizado (modelo/MAC/firmware/protocolo/ubicación).

Contenido Adicional

Preguntas frecuentes

¿Es seguro exponer Home Assistant con port forwarding si uso contraseña fuerte?

No es buena idea. Incluso con contraseña fuerte, sigues expuesto a exploits de día cero o a bots que prueban credenciales filtradas. Usa VPN o Nabu Casa con 2FA.

¿Red de invitados basta o necesito VLANs?

Para la mayoría, la red de invitados correctamente configurada es suficiente. Si tienes NVR, NAS, muchos IoT o requisitos avanzados, VLANs te dan más control y seguridad.

¿Qué hago con UPnP?

Desactívalo. Si necesitas un puerto para un servicio concreto, ábrelo manualmente sabiendo exactamente qué expones. Para domótica, mejor cero puertos y acceso por VPN.

¿Cámaras en la nube o locales?

Locales (RTSP/NVR) reducen exposición y latencia. Si usas nube, activa 2FA, revisa permisos y no abras puertos. Segmenta cámaras en su red y actualiza firmware.

Artículo elaborado por Norman, creador del curso “Domótica en 5 minutos” y fundador de Enreta Domótica.

Cómo proteger tu hogar inteligente de hackeos y fallos de seguridad — Curso de Domótica | Enreta Domótica

Preguntas Frecuentes

¿Es segura la domótica?
Sí, siempre que sigas una higiene digital básica: contraseñas fuertes, firmware actualizado y red separada para IoT. Los riesgos existen como con cualquier tecnología, pero se minimizan con sentido común.
¿Pueden hackear mi casa inteligente?
Es posible pero poco probable si tomas precauciones básicas. Los ataques más comunes se aprovechan de contraseñas por defecto y firmware desactualizado. Cambia las credenciales y mantén todo actualizado.
¿Cómo proteger los dispositivos domóticos?
Usa contraseñas únicas y fuertes, actualiza el firmware, aísla los IoT en una red separada, elige marcas de confianza y considera una plataforma local como Home Assistant para los datos más sensibles.
¿Es mejor la domótica local para la seguridad?
Sí, la domótica local reduce la superficie de ataque porque tus datos no salen de casa. Pero no es infalible: igualmente necesitas buenas contraseñas, red segura y firmware actualizado.
¿Qué gestor de contraseñas recomiendas para domótica?
Bitwarden es gratuito, de código abierto y funciona en todos los dispositivos. 1Password es otra opción excelente (de pago). Lo importante es dejar de usar la misma contraseña para todo. Con 30 o 40 dispositivos en casa, un gestor es imprescindible para no volverse loco.
Lección 18ÍndiceLección 20