La baliza V16 obligatoria en 2026 es un “coladero”, según un experto en ciberseguridad: hackearla es fácil y barato

En menos de un mes, los triángulos reflectantes dejarán de ser obligatorios en la carretera. Desde el 1 de enero, entra en vigor la normativa que convierte la baliza V16 en el dispositivo imprescindible para señalizar averías y otros incidentes. Este nuevo aparato, pensado para facilitar la seguridad vial, se coloca con un imán sobre el techo del coche y emite una luz visible a larga distancia.

Esta baliza busca eliminar el riesgo de que un conductor tenga que abandonar el vehículo en plena vía para colocar los antiguos triángulos, una situación especialmente peligrosa en los arcenes de autovías y autopistas. Incluye además geolocalización gracias a un chip GPS y una tarjeta SIM que, al activarse, envía la ubicación directamente a la nube de la Dirección General de Tráfico.

Según detalla Jorge Torre, uno de los creadores de la baliza, la información sale cada 100 segundos y se transmite de forma completamente anónima, sin “ningún tipo de dato personal ni ningún otro dato que no sea la localización de un obstáculo”, según Jorge Torre, uno de los creadores del sistema. No llevarlo en el vehículo puede acarrear una multa de 80 euros.

“Cualquiera que intercepte la señal” puede leer los datos

El experto en ciberseguridad Luis Miranda Acebedo ha publicado en GitHub un análisis detallado de la Help Flash IoT, el modelo distribuido en España por Vodafone, del que ya se han vendido 250.000 unidades. El informe señala que “los problemas de seguridad encontrados en la parte de comunicaciones parecen ser comunes a todos los dispositivos”.

Entre las vulnerabilidades detectadas, Miranda enumera el envío de datos en texto plano, sin cifrado, lo que permite que “cualquiera que intercepte la señal puede leerlos”. La baliza transmite coordenadas GPS, IMEI y parámetros de red sin protección. No hay mecanismos de autenticación ni de verificación de integridad entre el dispositivo y el servidor, lo que abre la puerta a la manipulación y el envío de datos falsos, según explica el especialista.

Además, la exposición del APN privado y los comandos de conexión en el puerto de depuración facilitan el acceso de terceros a la red de Vodafone. También destaca que el propio sistema de actualización OTA (Over The Air) es inseguro, ya que para actualizar el firmware basta activar una red Wi-Fi de mantenimiento con credenciales idénticas en todos los aparatos analizados. El proceso se realiza sobre HTTP, no HTTPS, sin firma digital y sin control del origen del archivo descargado, permitiendo la instalación de software malicioso y la manipulación remota del dispositivo.

Miranda demostró que pudo hackear una baliza en tan solo 60 segundos, controlar su ubicación e incluso simular alarmas masivas. Netun Solutions, firma que fabrica las balizas, ha respondido mediante un comunicado aclarando varios puntos. Reconocen que la geolocalización y el identificador de dispositivo son los datos que viajan, pero insisten en que “no hay transmisión de datos personales como matrículas o DNIs de los usuarios”.

Sobre el envío en texto plano, Netun indica que es una decisión tomada para “garantizar la interoperabilidad y robustez a largo plazo”. También explican que la baliza usa un APN privado y una VPN, aunque Miranda advierte que el acceso físico y la extracción de la eSIM pueden permitir la conexión a esa red. Desde la firma argumentan que en caso de vulneración física el riesgo queda limitado a esa unidad concreta.

En cuanto a las actualizaciones OTA, Netun afirma que la función ha sido deshabilitada en los últimos firmwares. La empresa matiza que para lanzar un ataque masivo sería necesario comprometer una gran cantidad de balizas; y añade que la plataforma “limita el número de tramas que puede enviar cada SIM” y controla la periodicidad de los envíos.