Victoria Fuentes
El investigador de ciberseguridad e ingeniero de telecomunicaciones Luis Miranda Acebedo ha puesto a prueba de forma minuciosa el funcionamiento de una de las balizas V16 más vendidas: la Help Flash IoT+. Según Vodafone, han vendido más de 250.000 dispositivos, por lo que es posible que ya tengas una en casa.
Los resultados de su investigación son demoledores: este 'hacker' ha destapado hasta cinco vulnerabilidades importantes que pueden agruparse en tres puntos: acceso físico al hardware, interceptación de comunicaciones de red y secuestro del sistema de actualizaciones.
Envío de datos sin cifrar y una baliza que se puede conectar a redes WiFi
"Cualquiera con un portátil y conocimientos básicos podría convertir tu baliza de emergencia en algo bastante menos útil que un pisapapeles luminoso". Así comienza Miranda un análisis que no ha dejado en buen lugar el dispositivo de la DGT que será obligatorio a partir del 1 de enero.
Aunque ha analizado las vulnerabilidades encontradas en la baliza Help Flash IoT, este especialista cree que los problemas de seguridad encontrados en la parte de comunicaciones parecen ser comunes a todos los dispositivos, pues otros modelos también examinados tienen el mismo funcionamiento y las mismas deficiencias.
ISSE SAFETY Baliza v16 Homologada DGT SIM y Datos Incluidos hasta 2038 - Luz Emergencia Coche Homologado DGT 3.0 - v16 Con Geolocalización Obligatoria Enero 2026 v16 Homologada DGT
¿Cuáles son las consecuencias de estas vulnerabilidades, según este 'hacker ético'?
- Balizas que no funcionan en emergencias reales
- Potencial rastreo de ubicaciones en tiempo real
- Falsas alarmas masivas y saturación de servicios de emergencia
- Pérdida de confianza en tecnologías de seguridad vial conectadas
Imagen: Luis Miranda Acebedo.
Pero para llegar a esto, echemos un vistazo al funcionamiento de la baliza V16, explicado por Miranda:
- La baliza, una vez encendida por el usuario, intenta obtener coordenadas GPS y se conecta por NB-IoT a un operador de telefonía de Telefónica, Orange o Vodafone.
- Cada cierto tiempo envía un mensaje a un servidor del propio fabricante donde indica parámetros como la hora de la incidencia, coordenadas GPS, identificadores del dispositivo, etc.
- El servidor del fabricante y la baliza no transmiten datos a través de internet, sino que el operador les da conectividad por medio de lo que se conoce como APN privado. Esto es una red privada y aislada.
- El servidor del fabricante procesa los mensajes que recibe de sus balizas y envía, ahora sí, a través de internet, las alertas a los servidores de la DGT3.0
- DGT3.0 distribuye las alertas a aplicaciones de navegación (Google Maps, Waze, ...), a los paneles luminosos de las autopistas/autovías, y a otras aplicaciones.
Lo primero que ha descubierto es que una vez activada la baliza envía tu ubicación exacta, el identificador de tu dispositivo, y toda la información de red a los servidores de la DGT y lo hace en texto plano. ¿Qué significa? Que ni hay cifrado ni la conexión está autenticada, por lo que se puede suplantar la baliza y datos como coordenadas GPS, IMEI de tu dispositivo o el operador quedan expuestos. Es decir: el atacante puede leer tus datos y modificarlos.
Lo segundo es que los parámetros de conexión de Vodafone también están expuestos en el puerto serie: "Esto significa que con acceso físico a un dispositivo y extrayendo la eSIM (o sin hacer esto y utilizando el dispositivo modificado como placa de desarrollo o como módem conectado a un PC), un atacante podría conectarse a esa red privada y hacer que todos estos problemas de seguridad sí importen" alerta Miranda en su investigación.
Luz de Emergencia V16 con Geolocalización Homologada y Conectada con la DGT 3.0 SIM Incorporada con Plan de Datos Incluido Clasificación IP-54 Base Imantada con Bolsa de Almacenaje Incluida
Pero hay (mucho) más: la luz V16 tiene un sistema de actualización Over-The-Air vía WiFi que no figura en ningún manual o documentación oficial. Para activarlo, solo necesitas mantener pulsado el botón de encendido durante unos 8 segundos y no hacer nada más. Eso significa que las más de 250.000 balizas que ha vendido Vodafone del modelo Help Flash IoT usan la misma contraseña WiFi.
Merece la pena echar un ojo a su investigación; como advierte, no hay que ser un hacker para entenderlo: en 60 segundos y alguien con conocimientos medios y 100 euros para el hardware puede hackear nuestra baliza. "Necesitamos estándares de seguridad IoT más estrictos y auditorías reales antes de homologar dispositivos críticos", ha advertido.
Imagen | Pexels, Help Flash
En Motorpasión | La DGT se defiende: no era su intención que se vendieran balizas V16 sin conexión porque no van a ser legales, pero ahí están. Y con el logo de la DGT
Ver 3 comentarios