Auditoría de seguridad IoT para empresas
Cada dispositivo IoT es una puerta que olvidaste.
Auditamos tus dispositivos conectados como lo haría un atacante con la placa en la mano: firmware, interfaces de hardware, protocolos inalámbricos, apps companion y las APIs que hay detrás.
El punto ciego de la superficie de ataque
Se protegen servidores y endpoints, pero los cientos de dispositivos que hablan solos por la red suelen entrar sin que nadie los revise.
Puntos de entrada olvidados
Cada cámara, sensor o pasarela es un ordenador conectado que nadie parchea ni monitoriza. Se instala una vez y se olvida, pero sigue escuchando en la red durante años.
Credenciales y firmware sin tocar
Credenciales por defecto, claves hardcoded en el firmware y ausencia de actualización segura (OTA). El dispositivo llega inseguro de fábrica y nadie cierra esa ventana.
El salto a lo crítico
Un sensor comprometido rara vez es el objetivo final. Suele ser el trampolín hacia sistemas de gestión o, en entornos industriales, hacia la red OT que controla procesos físicos.
Qué analizamos
Un dispositivo conectado no es una sola cosa: es firmware, silicio, radios, una app y un backend en la nube. Auditamos cada capa por separado y, sobre todo, las costuras donde una se fía de otra sin verificar.
Firmware
Extracción por interfaces de depuración, dump de la memoria flash o descarga OTA, y análisis estático de los binarios: credenciales y claves criptográficas hardcoded, secretos y tokens embebidos, servicios de depuración olvidados y comprobación de si la imagen está firmada y cifrada. Es la capa donde más rápido aparecen los hallazgos críticos.
Hardware
Identificación de interfaces de depuración expuestas (UART, JTAG, SWD), acceso a la memoria externa por SPI o I2C para leer o reescribir el firmware, bypass de protecciones de arranque y pruebas básicas de fault injection. El objetivo es medir qué consigue un atacante con la placa físicamente en la mano.
Protocolos inalámbricos
Las radios que habla el dispositivo: BLE (emparejamiento, cifrado y autorización de características), Zigbee y Z-Wave en domótica e industria, LoRa en telemetría de largo alcance y MQTT o CoAP como transporte. Buscamos cifrado ausente o débil, claves reutilizadas, mensajes manipulables y suplantación de nodos. Cuando cuelga de una red corporativa lo cruzamos con la auditoría de seguridad WiFi.
App companion y APIs cloud
La aplicación móvil que controla el dispositivo y las APIs de nube que hay detrás: autenticación y autorización, referencias directas a objetos que exponen datos de otros usuarios, secretos incrustados en la app y controles del lado servidor que se pueden saltar. Muchas veces el eslabón débil no es el aparato, sino su backend.
Identidad, cifrado y actualización segura
Cómo se identifica cada unidad frente a la nube, si las claves son únicas por dispositivo o compartidas por todo el modelo, cómo se protegen los datos en tránsito y en reposo y, sobre todo, si el mecanismo OTA valida firmas: sin actualización segura, cualquier fallo que encontremos se queda abierto para siempre.
Exposición en red
Qué puertos y servicios abre el dispositivo en la red local, si responde a internet, qué información filtra al descubrirse y cómo de aislado está del resto. Aquí conecta con la auditoría de infraestructura y red, que mide el salto desde el dispositivo hacia sistemas que sí importan.
IoT industrial (IIoT/OT)
En planta el dispositivo conectado deja de ser un gadget y pasa a ser TI embebida gobernando procesos físicos: pasarelas, sensores, controladores y cámaras que hace años vivían en una red aislada y hoy conviven con la red corporativa. Esa convergencia IT/OT amplía la superficie de ataque justo donde un fallo no tumba un servicio, sino una línea de producción.
Por eso el trabajo en estos entornos exige cuidado operativo: reglas de compromiso estrictas, distinción clara entre lo que se puede probar en producción y lo que exige banco de laboratorio, y prioridad al pivote desde el dispositivo hacia la red OT. Adaptamos el enfoque al riesgo real del sector; puedes ver cómo trabajamos en entornos de seguridad para el sector industria.
Cómo auditamos tus dispositivos IoT
Reconocimiento del ecosistema y superficie
Mapeo del dispositivo y todo lo que lo rodea: interfaces físicas, protocolos inalámbricos, app companion, APIs de nube, servicios expuestos en la red y flujos de datos entre todos ellos.
Análisis de firmware
Extracción del firmware (por interfaz, dump de memoria o descarga), desempaquetado y análisis en busca de credenciales hardcoded, claves criptográficas, binarios inseguros y mecanismos de arranque y actualización.
Pruebas de hardware e interfaces
Identificación y explotación de interfaces de depuración expuestas (UART, JTAG, SPI), acceso a memoria flash, bypass de protecciones de arranque y validación del aislamiento físico del dispositivo.
Pruebas de protocolos y app/API
Análisis de la comunicación inalámbrica (BLE, Zigbee, MQTT) y de la app companion y sus APIs: cifrado débil, autenticación, autorización, manipulación de mensajes y ausencia de actualización segura (OTA).
Informe y revalidación
Hallazgos priorizados por riesgo con evidencia, recomendaciones concretas por capa (hardware, firmware, protocolo, nube) y revalidación posterior para confirmar el cierre.
Qué recibes al terminar
Un informe técnico y ejecutivo con cada hallazgo, su impacto real de negocio y una remediación concreta por capa, más una revalidación para confirmar que lo crítico queda cerrado.
- Análisis de firmware: credenciales hardcoded, claves y binarios inseguros.
- Mapa de interfaces de hardware expuestas (UART, JTAG, SPI) y su riesgo.
- Evaluación de protocolos (BLE, Zigbee, MQTT), app companion y APIs de nube.
- Plan de remediación priorizado y revalidación del cierre.
"El primer hallazgo casi siempre está dentro del firmware: una contraseña hardcoded que abre todas las unidades del mismo modelo. Nadie la había mirado porque el dispositivo 'solo era un sensor'."
— Equipo de Servicios Ofensivos, Hard2bit
Cuándo necesitas auditar tus dispositivos
No hace falta esperar a un incidente. Estos son los momentos en los que una auditoría IoT deja de ser opcional.
Lanzas un producto conectado
Si fabricas o integras un dispositivo con conectividad, auditarlo antes de sacarlo al mercado evita retiradas, parches de urgencia y titulares. Mejor encontrar la clave hardcoded tú que un investigador externo.
Despliegas sensores o cámaras a escala
Cientos o miles de unidades del mismo modelo multiplican cualquier fallo: una debilidad en una es una debilidad en todas. Auditar el modelo antes del despliegue masivo cambia por completo la ecuación de riesgo.
Convives con dispositivos heredados
Equipos instalados hace años que nadie ha vuelto a tocar, sin parches y con firmware fuera de soporte. Necesitas saber qué exponen hoy y cómo aislarlos mientras planificas su relevo.
Tienes que cumplir normativa
El Cyber Resilience Act y la directiva RED convierten la seguridad del dispositivo en requisito de mercado. Una auditoría te da la evidencia técnica para sostener el cumplimiento ante clientes y reguladores.
Acabas de sufrir un incidente
Tras un compromiso en el que un dispositivo IoT pudo ser puerta de entrada o punto de pivote, la auditoría reconstruye qué era realmente posible y cierra el vector antes de que se repita. Encaja de forma natural con nuestros ejercicios de pentesting técnico y Pentesting & Red Team.
Qué incluye el informe
El entregable está pensado para que el equipo técnico sepa exactamente qué arreglar y la dirección entienda el riesgo real de negocio.
Inventario del ecosistema
Mapa de cada dispositivo auditado, sus interfaces, protocolos, apps y servicios cloud, con las relaciones y flujos de datos entre ellos. La foto completa de la superficie, no una lista suelta de aparatos.
Hallazgos por dispositivo
Cada hallazgo con su severidad, la capa afectada (hardware, firmware, protocolo, app o nube) y evidencia reproducible: pasos, capturas y artefactos. Sin ambigüedad sobre qué es y cómo se explota.
Riesgo de cadena de suministro de firmware
Componentes y bibliotecas de terceros en el firmware, versiones con vulnerabilidades conocidas y dependencias del proveedor. El riesgo que heredas sin haberlo escrito tú.
Remediación y revalidación
Plan de remediación priorizado por impacto y esfuerzo, con recomendaciones concretas por capa, y una revalidación posterior que confirma por escrito que lo crítico queda cerrado.
Preguntas frecuentes sobre seguridad IoT
¿Necesito enviaros una unidad física del dispositivo?
¿Auditáis el firmware del dispositivo?
¿Probáis protocolos inalámbricos como BLE y Zigbee?
¿Cubrís entornos industriales y OT?
¿Qué es el Cyber Resilience Act y cómo me afecta?
¿Cuánto dura una auditoría de seguridad IoT?
¿Qué diferencia hay entre auditar el IoT y auditar la red WiFi a la que se conecta?
¿Dónde encaja esto dentro del portfolio de Hard2bit?
¿Qué esconde el firmware de tus dispositivos?
Solicita una auditoría de seguridad IoT y te decimos, con evidencias, qué encontraría un atacante con tu dispositivo en la mano.