Victoria Fuentes
Recientemente un investigador de ciberseguridad e ingeniero de telecomunicaciones ha puesto a prueba de forma exhaustiva una de las balizas V16 conectadas que más se venden en España: la Help Flash IoT. El resultado de su estudio refleja varios fallos de seguridad que podrían comprometer los datos del conductor, algo que la propia compañía niega.
Como esta investigación ha hecho tanto ruido, desde Netun Solutions, la empresa viguesa que comercializa la luz, han querido llamar a la calma: ni es probable que se produzca un "ataque masivo" ni que los datos de los usuarios queden expuestos.
Ni ataques masivos ni datos personales expuestos
Uno de los principales puntos débiles que señala Luis Miranda Acebedo en el análisis realizado de la primera generación de Help Flash -el 'hacker ético' que ha publicado el estudio- es que se hubieran necesitado estándares de seguridad IoT "más estrictos y auditorías reales antes de homologar dispositivos críticos".
A través de una nota de prensa, desde Netun aseguran que su baliza "no almacena ni envía datos personales del conductor": una vez activada transmite la geolocalización, el identificador del dispositivo y "algunos parámetros técnicos de red necesarios para la comunicación" que Netun explica que son anónimos "y no se vinculan a nombre, matrícula, DNI, teléfono, póliza de seguro u otra información que identifique directamente a la persona usuaria".
Básicamente las balizas se conectan a través de un APN privado y una VPN del operador, no a Internet abierta y "solo equipos con acceso autorizado a esa red privada pueden ver ese tráfico", explica. También defienden que efectivamente el dispositivo envía la información en texto plano, un protocolo definido por la DGT. Sin embargo "esto no significa que cualquiera pueda escuchar o modificar esa comunicación".
OSRAM LEDguardian Road Flare Signal V16 IoT, luz de Advertencia LED certificada DGT 3.0, Uso obligatorio en España, 1900K, localización en Tiempo Real
Miranda defiende en su investigación que cualquiera con conocimientos medios y un portátil puede vulnerar estos dispositivos, algo que Netun niega: "Para explotar estas vías es necesario acceder físicamente al dispositivo y en cualquier caso, el posible impacto se limita a esa unidad concreta: no permite tomar el control de todas las balizas del mercado ni lanzar ataques masivos a distancia".
Aún así, la compañía ha tomado nota de la investigación de Miranda y asegura que han adoptado medidas correctivas y de refuerzo en los puntos señalados. En concreto, que las más de 250.000 balizas que ha vendido Vodafone del modelo Help Flash IoT usan la misma contraseña WiFi. Y es que la luz V16 tiene un sistema de actualización Over-The-Air vía WiFi para activarse, solo necesitas mantener pulsado el botón de encendido durante unos 8 segundos.
A medida que el uso de estos dispositivos se extienda iremos viendo si el ecosistema que ha creado la DGT para las balizas funciona y qué problemas va a ir enfrentando, porque serán millones de conductores quienes las pongan a funcionar.
Imagen | DGT
Ver 1 comentarios