Marcos Merino
EditorLas balizas V16, que serán obligatorias en España una vez que comience 2026 para señalizar averías en carretera, tienen la misión de comunicar automáticamente la ubicación de un vehículo inmovilizado a la plataforma DGT 3.0, con el fin de alertar a otros conductores y mejorar la seguridad vial.
Sin embargo, Luis Miranda Acebedo (ngeniero de telecomunicaciones y cofundador de Vigo SC Robotics), ha sacado a la luz que uno de los modelos más vendidos de este tipo de dispositivos —con más de 250.000 unidades en circulación— adolece de serias vulnerabilidades que permitirían manipular sus comunicaciones, falsear avisos de emergencia o incluso controlar el dispositivo de forma remota.
Comunicaciones sin cifrar y fáciles de interceptar
La primera debilidad detectada afecta directamente al corazón del sistema: la transmisión de datos. Cuando una baliza se activa, envía su posición GPS y otros parámetros técnicos al servidor del fabricante. Pero según el análisis técnico, esos datos se envían en texto plano, sin ningún tipo de cifrado ni autenticación, lo que abre la puerta a la interceptación o falsificación del mensaje.
Los paquetes de datos incluyen información sensible como coordenadas exactas, horas de activación, IMEI del dispositivo y parámetros de red.
Todo ello viaja sin protección a través de la red NB-IoT/LTE-M, cuya supuesta seguridad se basa en el uso de un APN privado... pero esa barrera no es infranqueable: un atacante podría extraer la eSIM, usar la propia baliza como módem o incluso desplegar una estación base móvil falsa para que los dispositivos se conecten a ella.
Fabricar una de estas estaciones —simuladores de antenas LTE— es sorprendentemente asequible: por unos 1.000 euros de inversión en hardware y software libre, sería posible interceptar, bloquear o modificar en tiempo real las comunicaciones de todas las balizas cercanas.
El hallazgo más grave: una puerta WiFi oculta que permite reescribir la baliza
Sin embargo, el descubrimiento más preocupante no está en la red móvil, sino dentro del propio dispositivo: un cliente WiFi secreto, no documentado por el fabricante, que puede activarse manteniendo presionado el botón de encendido durante ocho segundos.
Una vez activado el modo oculto, la baliza:
- Busca automáticamente una red WiFi con un nombre y contraseña fijos, idénticos en todas las unidades.
- Se conecta sin solicitar permiso al usuario.
- Descarga desde Internet una modificación del firmware vía HTTP sin cifrar.
- Instala ese firmware sin verificar firma digital, origen ni integridad.
Cualquier actor capaz de montar un punto de acceso con el SSID predefinido puede forzar que la baliza descargue un firmware modificado, otorgando control total del dispositivo. Según las pruebas, el proceso completo requiere menos de un minuto.
Desde talleres a gasolineras: escenarios de explotación real
Las vulnerabilidades no son solo teóricas. El investigador describe escenarios donde estos fallos podrían explotarse con relativa facilidad:
- Talleres o comercios maliciosos: Durante una revisión, alguien podría comprometer la baliza sin desmontarla, simplemente accionando el botón el tiempo necesario para activar el modo oculto de actualización.
- Ciberataques masivos en zonas de paso: Un punto de acceso WiFi trampa en un centro comercial o gasolinera permitiría comprometer cualquier baliza que entrara accidentalmente en modo OTA.
- Estaciones base LTE falsas: Un atacante equipado con una 'falsa eNodeB' podría interceptar todas las balizas en un radio de cientos de metros, alterando o bloqueando las alertas enviadas a la DGT.
- Usuarios manipulando su propio dispositivo: La ausencia de controles permitiría instalar firmwares alternativos que desactiven el envío de datos, manteniendo la apariencia de una baliza homologada.
Un problema que afecta a la infraestructura crítica de tráfico
El impacto de estas vulnerabilidades va mucho más allá de un 'mero' robo de datos. Si se manipula la ubicación enviada a la DGT 3.0, se podrían:
- generar falsas emergencias,
- colapsar los sistemas de aviso,
- desviar recursos de tráfico,
- o incluso impedir que alertas reales lleguen a su destino.
Para un país en el que estas balizas son ya obligatorias, un fallo sistemático podría afectar a cientos de miles de conductores simultáneamente.
Oficialmente, no es un fallo de seguridad
Según los documentos, el investigador notificó inicialmente las vulnerabilidades a INCIBE, que rechazó asignarles identificadores CVE (la forma protocolaria de identificar vulnerabilidades tecnológicas) al considerar que requerían "acceso físico". Pero la investigación señala que ese acceso consiste únicamente en pulsar un botón durante ocho segundos, un acto trivial que no implica abrir el dispositivo ni manipular su hardware.
Además, una vez comprometida una unidad, esta puede utilizarse para atacar remotamente a otras balizas, haciendo que vulnerabilidades inicialmente menores se conviertan en fallos de alto impacto.
¿Cómo ha llegado un dispositivo obligatorio a tener estas debilidades?
La baliza analizada está homologada oficialmente y se vende a gran escala. Sin embargo, presenta una lista de fallos que, según los expertos, no cumplirían los estándares habituales de seguridad IoT:
- sin cifrado TLS,
- sin firma digital de firmware,
- uso de HTTP en actualizaciones,
- credenciales universales,
- ausencia de mecanismos de integridad en mensajes,
- puerto de depuración accesible,
- y un protocolo de comunicaciones propietario sin protección.
Todo esto no hace preguntarnos si los procesos de homologación revisando adecuadamente la ciberseguridad de unos dispositivos que se consideran críticos para la seguridad vial.
Imagen | Marcos Merino mediante IA
En Xataka | Qué mirar en una baliza V16: requisitos y cómo comprobar si la que tienes o quieres comprar te sirve
