Global
UE
USA
PA
MEA
PAKSegún los datos publicados por HPE en su análisis sobre el estado de las redes empresariales, el número de dispositivos conectados se duplicará para 2028. No es una proyección optimista sobre el futuro de la tecnología: es una advertencia sobre lo que ya está ocurriendo en los entornos de muchas empresas medianas. Lectores de tarjetas en tiendas, monitores de signos vitales en clínicas, tablets asignadas a alumnos en centros educativos, routers gestionados en instalaciones de clientes. Cada uno de esos dispositivos existe en la red. La pregunta pertinente no es si están ahí, sino si alguien sabe exactamente cuáles son, qué hacen y si su comportamiento es el esperado.
La realidad en la mayoría de las organizaciones es que no. Los inventarios de red se actualizan de forma esporádica, a menudo solo cuando hay una incidencia o una auditoría interna. Entre medias, los dispositivos entran y salen de la infraestructura sin dejar un rastro claro: un equipo médico que se añade a la red de una clínica durante una guardia nocturna, un punto de venta temporal que se instala para una campaña de retail, un router de cliente que queda activo meses después de que ese cliente haya dejado de serlo. Cada uno de esos dispositivos no identificados es, desde el punto de vista de la seguridad, una puerta potencialmente abierta.
Por qué los métodos tradicionales de inventario fallan ante la proliferación de dispositivos IoT
Durante años, los equipos de TI han gestionado sus redes con herramientas diseñadas para entornos relativamente homogéneos: ordenadores corporativos, servidores, impresoras de red. Estos sistemas responden con normalidad a los protocolos de descubrimiento estándar, como SNMP o WMI, y pueden catalogarse con cierta facilidad. El problema es que los dispositivos IoT no funcionan bajo esas mismas reglas.
Un monitor de pacientes no anuncia su presencia de la misma forma que un portátil con Windows. Un lector de tarjetas de transporte público puede comunicarse a través de protocolos propietarios que ninguna herramienta de inventario convencional es capaz de interpretar. Un gateway industrial puede haberse instalado hace tres años, haber recibido actualizaciones de firmware inconsistentes y estar usando credenciales por defecto que nadie ha cambiado. Ninguno de estos dispositivos aparece con claridad en un escaneo de red tradicional, y los que sí aparecen lo hacen con información tan genérica, una dirección IP, un fabricante, una MAC address, que resulta imposible determinar qué rol desempeñan realmente en la red o qué riesgos implican.
Esta limitación se agrava en entornos distribuidos, donde la infraestructura se extiende por múltiples sedes, instalaciones de clientes o espacios compartidos. Desplegar agentes de software en cada dispositivo IoT no es viable: muchos de ellos no tienen un sistema operativo que lo permita. Y los colectores físicos que algunos fabricantes proponen como alternativa presentan sus propios problemas de escalabilidad cuando el número de ubicaciones crece.
El resultado es un inventario que refleja una fracción de lo que realmente existe en la red y que se queda obsoleto en días, no en meses.
Qué implica no saber lo que hay conectado en tu red corporativa
La falta de visibilidad sobre los dispositivos conectados no es solo un problema de gestión operativa. Es un problema de seguridad con consecuencias concretas para sectores que manejan información sensible.
En el sector sanitario, un monitor de pacientes sin identificar puede estar transmitiendo datos clínicos a través de un segmento de red que no debería tener acceso a esa información. En retail, un lector de tarjetas que nadie ha reconocido como parte del inventario puede estar siendo usado como pivote para acceder a sistemas de pago. En una empresa de telecomunicaciones que gestiona la red de sus clientes, un dispositivo no catalogado puede representar un vector de ataque hacia infraestructura crítica ajena. En un centro educativo, una tablet que ha dejado de pertenecer a un alumno activo puede seguir conectada, con credenciales válidas, sin que nadie lo haya detectado.
La lógica es simple: no puedes proteger lo que no ves. Y lo que no ves tampoco puedes segmentarlo, monitorizarlo ni aplicarle políticas de acceso coherentes. Los atacantes lo saben. De hecho, los dispositivos IoT son objetivos especialmente atractivos precisamente porque suelen carecer de controles de seguridad robustos y porque, al estar fuera del inventario, sus anomalías de comportamiento pasan desapercibidas durante más tiempo.
El concepto de perfilado de dispositivos surge como respuesta a este problema. Perfilar un dispositivo no significa solo saber que existe, sino entender qué es, qué hace normalmente, con qué sistemas se comunica y qué patrones de tráfico genera. A partir de ese perfil, es posible establecer una línea base de comportamiento esperado y detectar desviaciones que puedan indicar una compromisión o un uso indebido. Pero el perfilado solo es útil si es continuo. Una fotografía del estado de la red tomada en el momento de una auditoría no refleja lo que ocurre a las 3 de la mañana cuando nadie está mirando.
Cómo la falta de monitorización continua amplifica el riesgo en entornos con alta densidad de dispositivos conectados
Los entornos con muchos dispositivos conectados, clínicas con varias plantas, cadenas de tiendas con docenas de puntos de venta, colegios con centenares de tablets, operadoras que gestionan la conectividad de cientos de clientes, comparten un problema estructural: la superficie de ataque crece de forma proporcional al número de dispositivos, pero la capacidad de monitorización raramente escala al mismo ritmo.
La monitorización puntual no es suficiente. Un dispositivo puede estar completamente limpio en el momento del escaneo y quedar comprometido horas después. Sin una observación continua del comportamiento de la red, esa ventana de exposición puede extenderse durante semanas. Los equipos de seguridad hablan de tiempo de permanencia para referirse al intervalo que transcurre entre la intrusión inicial y su detección: en entornos con poca visibilidad sobre dispositivos IoT, ese tiempo puede ser extraordinariamente largo.
Además, la dificultad para detectar anomalías no es solo una cuestión de volumen. Los dispositivos IoT generan patrones de comportamiento muy distintos entre sí. Un sensor de temperatura industrial no se comporta como una cámara IP, y ninguno de los dos como una tablet de alumno. Sin una categorización precisa de cada dispositivo, cualquier intento de establecer umbrales de alerta se convierte en un ejercicio de conjeturas que produce un número de falsos positivos tan alto que el equipo de TI termina desactivando las alertas o ignorándolas sistemáticamente. El resultado es peor que no tener alertas.
La pregunta que debería plantearse cualquier responsable de operaciones o de TI en una empresa con alta densidad de dispositivos conectados no es si su red es vulnerable. Es cuántos de esos dispositivos no aparecen en ningún inventario actualizado, qué hacen mientras nadie los observa y qué pasaría si uno de ellos llevara semanas actuando de forma anómala sin que nadie lo hubiera notado. La respuesta honesta, en la mayoría de los casos, incomoda.
¿Tu empresa ha realizado alguna vez un inventario actualizado de todos los dispositivos conectados a su red, incluyendo los que no son equipos informáticos convencionales? Si la respuesta no es un sí inmediato y rotundo, es el momento de empezar a hacerse las preguntas correctas.
