La regulación de las balizas V-16 se encuentra establecida en el RD 159/2021, que detalla requisitos técnicos concretos:
- Luz ámbar visible en 360°.
- Intensidad luminosa dentro de rangos normativos.
- Destello entre 0,8 y 2 Hz.
- Función mínima de 30 minutos en situaciones de emergencia.
- Conectividad automática con la plataforma DGT 3.0.
- Conectividad garantizada durante al menos 12 años sin costos adicionales.
La normativa de homologación se enfoca en los requisitos funcionales y de conexión con la plataforma DGT 3.0. Sin embargo, la documentación pública carece de un estándar mínimo de ciberseguridad en cuanto a cifrado de comunicaciones, autenticación de dispositivos y procesos de actualización de firmware seguros. Esto implica que un dispositivo puede estar homologado sin haber pasado por ninguna auditoría de ciberseguridad.
Este es el punto crítico: la normativa pública carece de requisitos de ciberseguridad. Los documentos de la DGT hacen referencia a «conectividad» y «certificación», pero no definen estándares técnicos para proteger las comunicaciones contra los ataques documentados por los investigadores.
Vulnerabilidades identificadas
El investigador de ciberseguridad Luis Miranda ha realizado un análisis exhaustivo del funcionamiento de una baliza específica, una de las más populares: Help Flash IoT. Según Vodafone, se han vendido más de 250.000 dispositivos, lo que indica su amplia utilización. A continuación, se detallan las vulnerabilidades detectadas.
Comunicaciones sin cifrado
Las comunicaciones de la baliza se transmiten en texto plano, sin cifrado, lo que permite que cualquier persona cercana pueda monitorizar el tráfico de red y capturar información como la ubicación GPS del accidente. Además, dado que no hay autenticación, el receptor no puede verificar el origen del mensaje, facilitando que un atacante envíe una ubicación falsa en lugar de la real.
Los datos que proporciona la baliza incluyen:
- Coordenadas GPS precisas: la DGT exige que la precisión sea inferior a 5 metros, lo que representa un riesgo significativo, ya que un delincuente podría rastrear esta información.
- IMEI de la baliza: todas las balizas cuentan con una eSIM y, por ende, un IMEI que actúa como identificador único.
- Parámetro de red: información sobre la antena de telefonía, intensidad de señal y operador.
- Tiempo de activación: indica con precisión cuándo se activó la baliza.
Es relevante señalar que, además de la falta de cifrado y autenticación, la baliza tampoco verifica la integridad de los mensajes. Esto permite a un atacante modificar o alterar el mensaje sin que se detecte un error durante la transmisión.
La investigación de Luis Miranda cuenta con capturas de pantalla del tráfico de red y concluye que las comunicaciones carecen de los tres pilares fundamentales de seguridad:
- Sin cifrado: sin privacidad, cualquier persona que pueda leer el tráfico de red lo hará.
- Sin autenticación: cualquier persona podría suplantar nuestra identidad, ya que el IMEI se transmite en texto claro.
- Sin integridad: si ocurre un error en la transmisión o si alguien manipula el mensaje, no se podrá detectar.
Lo único que «protege» esta situación es que todas las balizas están conectadas a un APN privado del operador. En ciberseguridad, esto se conoce como «seguridad por oscuridad». Sin embargo, los parámetros de conexión son accesibles a través del puerto serie, lo que significa que cualquier persona con acceso físico a la baliza podría extraer la eSIM o usar un dispositivo modificado para conectarse al APN privado y llevar a cabo diversos tipos de ataques.
Ataque con estación base falsa
Un posible vector de ataque a estas balizas consiste en crear una estación base LTE falsa, haciéndose pasar por una torre de telefonía, lo que obligaría a los dispositivos a conectarse a ella en lugar de a la red del operador. El costo del hardware necesario para este ataque es relativamente bajo, alrededor de 1000€.
En estos casos, se pueden llevar a cabo dos tipos de ataque:
- Denegación de servicio: si la baliza se conecta a la estación base falsa, esta no se conecta a nada, permitiendo al atacante interceptar y leer el tráfico, pero sin enviarlo a la DGT. Esto es ideal para espionaje, capturando múltiples IMEI válidos.
- Ataque Man-in-the-Middle: con una tarjeta eSIM válida extraída de otro dispositivo comprometido, el atacante podría conectar la estación falsa a la red real de Vodafone y así interceptar tráfico, modificar datos o crear nuevos datos basados en el IMEI del dispositivo atacado.
Como se puede observar, el envío de mensajes sin cifrado, sin autenticación y sin verificar la integridad permite una amplia gama de ataques.
Actualizaciones de firmware
Las balizas permiten actualizaciones de firmware a través de Wi-Fi, aunque este método no está documentado, es un problema grave. Al mantener pulsado el botón de la baliza durante 8 segundos, se intentará conectar automáticamente a un SSID (nombre de red Wi-Fi) con una contraseña específica. Solo se necesita pulsar el botón; no hay que introducir ningún PIN ni contraseña para activar este modo de actualización. Lo preocupante es que el SSID y la contraseña parecen ser idénticos para todas las balizas V-16, no son únicas por dispositivo, sino que están incluidas en el firmware de cada baliza.
¿Por qué es esto relevante? Porque la actualización se realiza a través del protocolo HTTP, sin cifrado ni autenticación. El dispositivo no verifica certificados SSL/TLS, ni firma digital, ni la identidad del servidor, lo que permite que acepte actualizaciones de cualquier entidad que responda correctamente. Un atacante podría crear un sistema en el que la baliza «llame» y el atacante responda con un firmware modificado.
Este firmware alterado podría ser utilizado para:
- Enviar ubicaciones incorrectas a la DGT.
- Acceder al APN privado del operador.
- Generar alarmas falsas.
- Interceptar comunicaciones.
- Deshabilitar el envío de la geolocalización, sin que se detecte.
En resumen, al modificar el firmware del dispositivo, se podría cambiar su funcionamiento a voluntad.
Conclusiones
La ciberseguridad de la baliza analizada por Luis Miranda presenta graves deficiencias. La comunicación con los servidores ocurre sin cifrado, autenticación ni verificación de integridad, lo que la hace susceptible a múltiples ataques si alguien tiene acceso al APN del operador. Además, el acceso a este APN es relativamente sencillo si se extrae la tarjeta eSIM de la baliza; asimismo, si se establece una estación base falsa, se podrá capturar y manipular el tráfico de red. En cuanto al proceso de actualización de firmware, este se realiza mediante HTTP sin verificar autenticidad ni integridad, lo que permite que cualquiera pueda modificar el firmware y alterar funciones como la geolocalización.
Vulnerabilidades de ciberseguridad en la baliza V-16
| Tipo de vulnerabilidad | Riesgo para el conductor | Vector de ataque |
|---|---|---|
| Comunicaciones sin cifrado | Terceros pueden interceptar y conocer la ubicación exacta del vehículo tras un accidente o avería | Interceptación de tráfico de red en texto plano |
| Autenticación ausente | Atacantes pueden suplantar la baliza y enviar ubicaciones falsas a la plataforma DGT 3.0 | Suplantación de identidad del dispositivo sin validación de credenciales |
| Sin verificación de integridad de mensajes | Los datos de ubicación y alertas pueden ser modificados durante la transmisión sin que se detecte | Manipulación de mensajes en tránsito durante la comunicación |
| Vulnerabilidad a estación base falsa (IMSI Catcher) | Captura completa del tráfico de datos, denegación de servicio o ataques Man-in-the-Middle que impidan que la alerta llegue a otros conductores | Creación de una estación base falsa que intercepta toda la comunicación del dispositivo |
| Actualizaciones de firmware inseguras | Control total del dispositivo mediante código malicioso que puede enviar falsas ubicaciones, generar alarmas fraudulentas o inhabilitar el dispositivo | Inyección de firmware modificado sin cifrado ni autenticación a través de Wi-Fi |
| Acceso al APN privado del operador | Comprometer infraestructuras de telecomunicaciones y acceso no autorizado a datos de múltiples usuarios | Explotación de firmware comprometido para obtener credenciales de acceso privilegiado |
Recomendamos consultar todos los detalles técnicos en el GitHub de Luis Miranda, donde se puede acceder a la información completa de la investigación.
Preguntas frecuentes
¿Cuáles son los principales riesgos de seguridad descubiertos?
Las comunicaciones se envían sin cifrar, es posible realizar ataques con estaciones base falsas para interceptar y modificar datos, y el sistema de actualización de firmware es inseguro.
¿Afectan estos fallos a todas las balizas V-16 del mercado?
La investigación se ha centrado en el modelo «Help Flash IoT». Aunque los problemas podrían ser comunes a otros dispositivos, no se puede confirmar sin un análisis específico de cada marca.
Si tengo esta baliza, ¿qué pueden hacer los ciberdelincuentes?
Un atacante con los medios adecuados podría interceptar su ubicación exacta, suplantar su identidad para enviar localizaciones falsas a la DGT, generar falsas alarmas o incluso modificar el funcionamiento del dispositivo.
¿Se pueden solucionar estas vulnerabilidades?
Sí, el fabricante podría abordar estas fallas mediante una actualización de firmware que implemente cifrado en las comunicaciones, autenticación de mensajes y un proceso de actualización seguro. Esto recaería en el cliente final que haya adquirido el dispositivo.
