La cuenta regresiva para 2026 ha llevado a que las balizas V16 conectadas se conviertan en un producto prácticamente omnipresente en gasolineras, tiendas de accesorios y comercios online. A partir de este año, estos dispositivos sustituirán a los tradicionales triángulos de emergencia en las carreteras españolas, estableciéndose como el único sistema válido para sinalizar averías o accidentes desde el propio vehículo.
Teóricamente, esta nueva normativa apoya una movilidad más segura y conectada. Sin embargo, una investigación reciente sobre uno de los modelos más vendidos, la baliza Help Flash IoT, ha planteado un nuevo inquietante desafío: la ciberseguridad de un dispositivo que será obligatorio y que está integrado en la infraestructura de tráfico del país.
El informe, elaborado por el investigador de seguridad Luis Miranda Acebedo, no cuestiona la utilidad de las balizas conectadas, pero sí critica la implementación de su seguridad. El análisis revela una preocupante combinación de comunicaciones sin cifrado, mecanismos de autenticación débiles y un sistema de actualización remota que puede ser fácilmente vulnerado. Esta baliza, según las cifras proporcionadas por su operador, ha superado las 250,000 unidades vendidas en España.
Las balizas V16 conectadas fueron diseñadas para reducir riesgos en carretera. Su funcionamiento es simple: el conductor no necesita salir del vehículo para colocar triángulos; solo debe sacar el dispositivo por la ventana, fijarlo en el techo y activar la luz. Este emite destellos visibles a larga distancia y envía la ubicación vía red móvil a un servidor del fabricante, que comunica la incidencia a la plataforma de tráfico correspondiente. Esto convierte un accidente en un dato en tiempo real, visible en paneles informativos y aplicaciones de navegación, aumentando la seguridad de los conductores al reducir su exposición al peligro en la carretera.
No obstante, dada su naturaleza como un dispositivo de seguridad físico y como un equipo conectado a una infraestructura crítica, la robustez de su diseño en ciberseguridad es un requisito esencial. La investigación de Miranda se enfoca en el modelo Help Flash IoT, que incluye un módem NB-IoT y un sistema de geolocalización. A través del desensamblaje y análisis de varias unidades adquiridas en el mercado, el investigador ha desvelado una serie de vulnerabilidades.
Primero, la falta de cifrado en las comunicaciones significa que los mensajes enviados por la baliza viajan sin protección a nivel de aplicación. Esto permite que una persona en la proximidad pueda interceptar y leer los datos, conociendo detalles sobre las coordinadas GPS, la hora de activación y otros parámetros. Además, la autentificación es débil, lo que facilita la suplantación de dispositivos y la manipulación de datos.
En la investigación, Miranda también describe un vector de ataque evidente: el uso de estaciones base falsas, que podrían atraer a las balizas a conectarse a redes fraudulentas, permitiendo a un atacante interceptar y manipular los mensajes enviados. Esto plantea serios riesgos para la seguridad vial, ya que un tercero podría rastrear ubicaciones, suplantar dispositivos o alterar datos críticos en tiempo real.
Otro hallazgo desconcertante es el sistema de actualización OTA del dispositivo, que permite modificar el firmware de la baliza a través de WiFi. Este proceso, que puede ser activado manteniendo presionado un botón, carece de autenticación adicional, permitiendo que atacantes puedan redirigir la baliza a descargar firmware malicioso de redes fraudulentas.
El informe plantea una serie de preocupaciones sobre la seguridad pública, cuestionando si la normativa que regula estos dispositivos tiene en cuenta adecuadamente los aspectos de ciberseguridad y si los procesos de homologación son lo suficientemente rigurosos. A medida que el 2026 se acerca, los conductores que están obligados a adoptar estas tecnologías se encuentran en una situación incómoda, pues deben adaptarse a nuevas exigencias regulatorias sin una certeza plena sobre la seguridad de los dispositivos requeridos.
La evidencia sugiere que si la seguridad vial va a apoyarse en el Internet de las Cosas, la ciberseguridad debe ser una prioridad integral y no un aspecto secundario. Con la llegada inminente de este nuevo reglamento, cabe preguntarse cómo responderán los fabricantes y las administraciones ante los hallazgos de investigaciones como esta y qué medidas se implementarán para garantizar la seguridad de los conductores y la integridad de la infraestructura vial.
vía: Diario de Castilla-La Mancha
