Hard2bit
Seguridad de dispositivos

Auditoría de seguridad IoT para empresas

Cada dispositivo IoT es una puerta que olvidaste.

Auditamos tus dispositivos conectados como lo haría un atacante con la placa en la mano: firmware, interfaces de hardware, protocolos inalámbricos, apps companion y las APIs que hay detrás.

El punto ciego de la superficie de ataque

Se protegen servidores y endpoints, pero los cientos de dispositivos que hablan solos por la red suelen entrar sin que nadie los revise.

Puntos de entrada olvidados

Cada cámara, sensor o pasarela es un ordenador conectado que nadie parchea ni monitoriza. Se instala una vez y se olvida, pero sigue escuchando en la red durante años.

Credenciales y firmware sin tocar

Credenciales por defecto, claves hardcoded en el firmware y ausencia de actualización segura (OTA). El dispositivo llega inseguro de fábrica y nadie cierra esa ventana.

El salto a lo crítico

Un sensor comprometido rara vez es el objetivo final. Suele ser el trampolín hacia sistemas de gestión o, en entornos industriales, hacia la red OT que controla procesos físicos.

Qué analizamos

Un dispositivo conectado no es una sola cosa: es firmware, silicio, radios, una app y un backend en la nube. Auditamos cada capa por separado y, sobre todo, las costuras donde una se fía de otra sin verificar.

Firmware

Extracción por interfaces de depuración, dump de la memoria flash o descarga OTA, y análisis estático de los binarios: credenciales y claves criptográficas hardcoded, secretos y tokens embebidos, servicios de depuración olvidados y comprobación de si la imagen está firmada y cifrada. Es la capa donde más rápido aparecen los hallazgos críticos.

Hardware

Identificación de interfaces de depuración expuestas (UART, JTAG, SWD), acceso a la memoria externa por SPI o I2C para leer o reescribir el firmware, bypass de protecciones de arranque y pruebas básicas de fault injection. El objetivo es medir qué consigue un atacante con la placa físicamente en la mano.

Protocolos inalámbricos

Las radios que habla el dispositivo: BLE (emparejamiento, cifrado y autorización de características), Zigbee y Z-Wave en domótica e industria, LoRa en telemetría de largo alcance y MQTT o CoAP como transporte. Buscamos cifrado ausente o débil, claves reutilizadas, mensajes manipulables y suplantación de nodos. Cuando cuelga de una red corporativa lo cruzamos con la auditoría de seguridad WiFi.

App companion y APIs cloud

La aplicación móvil que controla el dispositivo y las APIs de nube que hay detrás: autenticación y autorización, referencias directas a objetos que exponen datos de otros usuarios, secretos incrustados en la app y controles del lado servidor que se pueden saltar. Muchas veces el eslabón débil no es el aparato, sino su backend.

Identidad, cifrado y actualización segura

Cómo se identifica cada unidad frente a la nube, si las claves son únicas por dispositivo o compartidas por todo el modelo, cómo se protegen los datos en tránsito y en reposo y, sobre todo, si el mecanismo OTA valida firmas: sin actualización segura, cualquier fallo que encontremos se queda abierto para siempre.

Exposición en red

Qué puertos y servicios abre el dispositivo en la red local, si responde a internet, qué información filtra al descubrirse y cómo de aislado está del resto. Aquí conecta con la auditoría de infraestructura y red, que mide el salto desde el dispositivo hacia sistemas que sí importan.

IoT industrial (IIoT/OT)

En planta el dispositivo conectado deja de ser un gadget y pasa a ser TI embebida gobernando procesos físicos: pasarelas, sensores, controladores y cámaras que hace años vivían en una red aislada y hoy conviven con la red corporativa. Esa convergencia IT/OT amplía la superficie de ataque justo donde un fallo no tumba un servicio, sino una línea de producción.

Por eso el trabajo en estos entornos exige cuidado operativo: reglas de compromiso estrictas, distinción clara entre lo que se puede probar en producción y lo que exige banco de laboratorio, y prioridad al pivote desde el dispositivo hacia la red OT. Adaptamos el enfoque al riesgo real del sector; puedes ver cómo trabajamos en entornos de seguridad para el sector industria.

Cómo auditamos tus dispositivos IoT

Reconocimiento del ecosistema y superficie

Mapeo del dispositivo y todo lo que lo rodea: interfaces físicas, protocolos inalámbricos, app companion, APIs de nube, servicios expuestos en la red y flujos de datos entre todos ellos.

Análisis de firmware

Extracción del firmware (por interfaz, dump de memoria o descarga), desempaquetado y análisis en busca de credenciales hardcoded, claves criptográficas, binarios inseguros y mecanismos de arranque y actualización.

Pruebas de hardware e interfaces

Identificación y explotación de interfaces de depuración expuestas (UART, JTAG, SPI), acceso a memoria flash, bypass de protecciones de arranque y validación del aislamiento físico del dispositivo.

Pruebas de protocolos y app/API

Análisis de la comunicación inalámbrica (BLE, Zigbee, MQTT) y de la app companion y sus APIs: cifrado débil, autenticación, autorización, manipulación de mensajes y ausencia de actualización segura (OTA).

Informe y revalidación

Hallazgos priorizados por riesgo con evidencia, recomendaciones concretas por capa (hardware, firmware, protocolo, nube) y revalidación posterior para confirmar el cierre.

Qué recibes al terminar

Un informe técnico y ejecutivo con cada hallazgo, su impacto real de negocio y una remediación concreta por capa, más una revalidación para confirmar que lo crítico queda cerrado.

  • Análisis de firmware: credenciales hardcoded, claves y binarios inseguros.
  • Mapa de interfaces de hardware expuestas (UART, JTAG, SPI) y su riesgo.
  • Evaluación de protocolos (BLE, Zigbee, MQTT), app companion y APIs de nube.
  • Plan de remediación priorizado y revalidación del cierre.

"El primer hallazgo casi siempre está dentro del firmware: una contraseña hardcoded que abre todas las unidades del mismo modelo. Nadie la había mirado porque el dispositivo 'solo era un sensor'."

— Equipo de Servicios Ofensivos, Hard2bit

Cuándo necesitas auditar tus dispositivos

No hace falta esperar a un incidente. Estos son los momentos en los que una auditoría IoT deja de ser opcional.

Lanzas un producto conectado

Si fabricas o integras un dispositivo con conectividad, auditarlo antes de sacarlo al mercado evita retiradas, parches de urgencia y titulares. Mejor encontrar la clave hardcoded tú que un investigador externo.

Despliegas sensores o cámaras a escala

Cientos o miles de unidades del mismo modelo multiplican cualquier fallo: una debilidad en una es una debilidad en todas. Auditar el modelo antes del despliegue masivo cambia por completo la ecuación de riesgo.

Convives con dispositivos heredados

Equipos instalados hace años que nadie ha vuelto a tocar, sin parches y con firmware fuera de soporte. Necesitas saber qué exponen hoy y cómo aislarlos mientras planificas su relevo.

Tienes que cumplir normativa

El Cyber Resilience Act y la directiva RED convierten la seguridad del dispositivo en requisito de mercado. Una auditoría te da la evidencia técnica para sostener el cumplimiento ante clientes y reguladores.

Acabas de sufrir un incidente

Tras un compromiso en el que un dispositivo IoT pudo ser puerta de entrada o punto de pivote, la auditoría reconstruye qué era realmente posible y cierra el vector antes de que se repita. Encaja de forma natural con nuestros ejercicios de pentesting técnico y Pentesting & Red Team.

Qué incluye el informe

El entregable está pensado para que el equipo técnico sepa exactamente qué arreglar y la dirección entienda el riesgo real de negocio.

Inventario del ecosistema

Mapa de cada dispositivo auditado, sus interfaces, protocolos, apps y servicios cloud, con las relaciones y flujos de datos entre ellos. La foto completa de la superficie, no una lista suelta de aparatos.

Hallazgos por dispositivo

Cada hallazgo con su severidad, la capa afectada (hardware, firmware, protocolo, app o nube) y evidencia reproducible: pasos, capturas y artefactos. Sin ambigüedad sobre qué es y cómo se explota.

Riesgo de cadena de suministro de firmware

Componentes y bibliotecas de terceros en el firmware, versiones con vulnerabilidades conocidas y dependencias del proveedor. El riesgo que heredas sin haberlo escrito tú.

Remediación y revalidación

Plan de remediación priorizado por impacto y esfuerzo, con recomendaciones concretas por capa, y una revalidación posterior que confirma por escrito que lo crítico queda cerrado.

Preguntas frecuentes sobre seguridad IoT

¿Necesito enviaros una unidad física del dispositivo?
Para la parte de hardware y firmware, sí: trabajamos sobre unidades reales para poder acceder a las interfaces físicas, extraer el firmware y probar las protecciones de arranque. Idealmente varias unidades, porque algunas pruebas son destructivas. La parte de protocolos, app companion y APIs puede evaluarse en paralelo sin sacrificar dispositivos adicionales.
¿Auditáis el firmware del dispositivo?
Sí, y suele ser donde aparecen los hallazgos más graves. Extraemos el firmware por interfaz de depuración, dump de memoria flash o descarga OTA, lo desempaquetamos y buscamos credenciales y claves hardcoded, secretos embebidos, binarios compilados sin protecciones y mecanismos de arranque y actualización manipulables. Una sola contraseña incrustada en la imagen puede abrir todas las unidades del mismo modelo.
¿Probáis protocolos inalámbricos como BLE y Zigbee?
Sí. Analizamos las radios que habla el dispositivo: BLE (emparejamiento, cifrado y autorización de características), Zigbee y Z-Wave en despliegues domóticos e industriales, LoRa en telemetría de largo alcance y MQTT o CoAP como transporte de mensajería. Buscamos cifrado ausente o débil, claves reutilizadas, mensajes manipulables y suplantación de nodos. Cuando el dispositivo cuelga de una red inalámbrica corporativa, encadenamos estos hallazgos con la auditoría de seguridad WiFi.
¿Cubrís entornos industriales y OT?
Sí. Los principios son los mismos, pero en entornos industriales el impacto es mayor: un sensor, una pasarela o un PLC comprometido puede afectar a procesos físicos. Trabajamos con especial cuidado sobre reglas de compromiso estrictas para no interferir con la operativa, distinguimos entre pruebas seguras en producción y las que exigen banco de laboratorio, y priorizamos el pivote desde el dispositivo hacia la red OT.
¿Qué es el Cyber Resilience Act y cómo me afecta?
El Cyber Resilience Act (CRA) es el reglamento europeo que obliga a los fabricantes de productos con elementos digitales a garantizar seguridad durante todo el ciclo de vida: sin credenciales por defecto inseguras, con actualizaciones y gestión de vulnerabilidades, y con documentación que lo respalde. Junto con la directiva RED para equipos de radio, convierte la seguridad del dispositivo en un requisito de mercado. Una auditoría IoT te da la evidencia técnica para sostener ese cumplimiento.
¿Cuánto dura una auditoría de seguridad IoT?
Depende de cuántas capas entren en alcance y de la complejidad del dispositivo. Una evaluación centrada en un único producto (firmware, hardware, un par de protocolos y su app companion) suele moverse en unas dos o tres semanas; un ecosistema con varios modelos, backend en nube y despliegue industrial lleva más. Tras el reconocimiento inicial cerramos alcance y plazo por escrito antes de empezar.
¿Qué diferencia hay entre auditar el IoT y auditar la red WiFi a la que se conecta?
Son complementarias. La auditoría WiFi evalúa cómo un atacante entraría por el aire y si la red de invitados e IoT está bien aislada; la auditoría IoT desciende al propio dispositivo: su firmware, su hardware y los protocolos que habla. Muchos hallazgos de un lado explican los del otro, por eso a menudo se combinan con nuestra auditoría de seguridad WiFi.
¿Dónde encaja esto dentro del portfolio de Hard2bit?
Forma parte del área de Pentesting & Red Team, junto con pentesting técnico, auditoría de infraestructura y red y auditoría de seguridad WiFi. La auditoría IoT cubre el dispositivo conectado, uno de los puntos más ignorados de la superficie de ataque.

¿Qué esconde el firmware de tus dispositivos?

Solicita una auditoría de seguridad IoT y te decimos, con evidencias, qué encontraría un atacante con tu dispositivo en la mano.