|  Xataka.com |  Tecnología

El 1 de enero de 2026 será obligatorio llevar en el coche una baliza V16 homologada. La introducción de este dispositivo está rodeado de una gran polémica respecto a su puesta en marcha, su utilidad real o la aparición de dispositivos ilegales. Lo que se acaba de descubrir es que más de 250.000 balizas están afectadas por graves vulnerabilidades de ciberseguridad. Es el enésimo desastre que afecta a estos dispositivos.

Qué ha pasado. Luis Miranda Acebedo, experto en ciberseguridad, ha publicado un completo y profundo análisis de la seguridad digital (o más bien, falta de ella) de una de estas balizas V16. En concreto, el modelo Help Flash IoT, que es especialmente llamativo porque quien lo ha distribuido es Vodafone y la operadora confirmó hace meses que había vendido más de 250.000 unidades en España. El documento y sus conclusiones son preocupantes.

En Xataka

Baliza V16 sin eSIM ni conectividad: qué dice la DGT sobre ellas a partir de 2026

Vulnerabilidades por doquier. En su análisis Miranda explica que aunque el análisis solo se centra en este dispositivo, "los problemas de seguridad encontrados en la parte de comunicaciones parecen ser comunes a todos los dispositivos". En concreto, los fallos encontrados por este experto para esa parte fueron los siguientes: 

• Envío de datos en texto plano: la baliza transmite coordenadas GPS exactas, IMEI y parámetros de red sin ningún tipo de cifrado. Cualquiera que intercepte la señal puede leerlos.
• Falta de autenticación e integridad: no existen mecanismos para verificar que el servidor es legítimo ni para asegurar que el mensaje no ha sido modificado por el camino.
• Susceptibilidad a estaciones falsas: es posible suplantar una torre de telefonía para interceptar el tráfico, bloquear el envío de alertas o inyectar datos falsos.
• Exposición del APN privado: aunque esta baliza una red privada de Vodafone, los comandos de conexión y claves están expuestos en el puerto de depuración, haciendo la red accesible para un atacante.

La baliza V16 Help Flash IoT es un auténtico coladero. Imagen: Luis Miranda Acebedo.

Las actualizaciones OTA, otro desastre. Los problemas no solo se limitan a esa parte de la comunicación de la baliza V16 con el APN y los servidores de cada proveedor, sino que también están presentes en el sistema de actualizaciones OTA (Over-The-Air): 

• Actualización insegura: basta pulsar 8 segundos el botón de encendido para activar una red Wi-Fi de mantenimiento. El nombre (SSID) de la Wi-Fi y su contraseña son idénticos (HF-UpdateAP-5JvqFV), están "harcodeados" en el firmware. No solo eso: Mirando probó dos unidades distintas y esas credenciales coincidían, lo que le inclina a pensar que son iguales en los 250.000 dispositivos vendidos por Vodafone.
• HTTP no seguro: para la descarga del nuevo firmware se usa el protocolo HTTP sin más, no la versión segura (HTTPS), permitiendo que un atacante incercepte y modifque el archivo en tránsito.
• Sin firma digital: el dispositivo no verifica la autenticidad del firmware, y acepta cualquier archivo que se le envíe, permitiendo la instalación de software malicioso.
• DNS Spoofing: al no usar DNSSEC es trivial engañar al dispositivo para que se conecte a un servidor falso controlado por un ciberdelincuente.
• Puerto de depuración abierto: el puerto es además accesible físicamente sin contraseña, permitiendo ver todos los logs y extraer información sensible del hardware.

Hackear una baliza es fácil y barato. El investigador explicó que es posible comprar un dispositivo que simula una antena de telefonía (500-1.000 euros). Usando una Rasperry Pi 4 o un portátil se puede usar software libre para "interceptar y manipular las comunicaciones "seguras" de estas balizas". Tras ejecutar una prueba de concepto, logró hackear una baliza en 60 segundos e instalar un firmware malicioso que le permitió tener control total de la baliza. Con dicho firmware podía enviar ubicaciones falsas, acceder al APN privado del operador, generar falsas alarmas masivas o convertir la baliza en un ladrillo.

Qué dice Netun. La empresa que fabrica estas balizas, Netun Solutions, ha enviado un comunicado de prensa para intentar aclarar esos riesgos. 

• Datos expuestos: La firma indica que la baliza transmite la geolocalización, un identificador de dispositivo y algunos parámetros técnicos. Admiten que se pueden exponer esos datos, pero destacan que no hay transmisión de datos personales como matrículas o DNIs de los usuarios. Lógico: no están asociados a las balizas.
• Texto plano: los responsables de Netun explican que la decisión de enviar texto plano se realizó para "garantizar la interoperabilidad y robustez a largo plazo". 

En Xataka

Si no llevas la baliza V16 te van a multar, pero el director de la DGT plantea un periodo de gracia: "los agentes serán flexibles"

• APN Privado: también se señala que las balizas se conectan a través de un APN privado y una VPN del operador, pero Miranda explicaba cómo los parámetros de conexión están expuestos en el puerto serie. Basta acceso físico y extraer la eSIM para que un atacante se conecte a esa red privada. Desde Netum a su vez señalan que el acceso físico hace que "el impacto se limite a esa unidad concreta".
• Problemas OTA: en cuanto a la funcionalidad OTA que muestra también una vulnerabilidad, en Netun afirman que dicha función ha sido deshabilitada mediante actualizaciones de firmware. 
• Ataques masivos improbables: por último los responsables señalan que solo se podrían realizar ataques masivos comprometiendo un gran número de balizas. Además explican que la plataforma de Netun "limita el número de tramas que puede enviar cada SIM" y la frecuencia del envío.

Qué dice Vodafone. En Xataka nos hemos puesto en contacto con Vodafone, y uno de sus portavoces nos indica lo siguiente:

"Las balizas V16 homologadas y comercializadas por Vodafone España constituyen un sistema adecuado y conforme a la normativa vigente para señalización de emergencias en carretera. En particular, Help Flash IoT está certificada conforme a la normativa exigida por la Dirección General de Tráfico (DGT) para balizas V16 conectadas, cumpliendo los requisitos técnicos necesarios en cuanto a visibilidad (intensidad luminosa suficiente), resistencia, fiabilidad del destello, duración de la señal, etc. Dichos requisitos incluyen también los protocolos de comunicación de datos de la baliza con los servidores.

 Las balizas V16 cuentan con mecanismos internos de seguridad y la red de Vodafone provee de una capa de seguridad adicional con controles que aseguran que la comunicación se hace desde la baliza autorizada por la red. Por otra parte, las balizas integran conectividad NB-IoT, lo que garantiza que la baliza solo sea utilizada para la localización en caso de emergencia por las entidades autorizadas y con conocimiento del usuario. La comunicación que transita por Vodafone lo hace en todo momento por una red privada lo que garantiza la protección de la información que emite la baliza.

 Vodafone considera que las balizas V16 que comercializa son una herramienta segura, adecuada y responsable para la señalización de emergencias en carretera".

De momento, sin comentarios de la DGT. En Xataka también nos hemos puesto en contacto con la DGT para tratar de aclarar aún más estos posibles problemas. De momento no hemos recibido respuesta, pero actualizaremos esta información si conseguimos nuevos datos.

En Xataka | FACUA cree que un montón de balizas V16 "homologadas por la DGT" no son legales. Y tiene una forma de resumirlo: fraude

-
La noticia Las V16 querían sustituir al triángulo y reducir riesgos. Han terminado demostrando que también pueden crearlos fue publicada originalmente en Xataka por Javier Pastor .