- Les balises V16 connectades seran obligatòries i formen part de la infraestructura crítica DGT 3.0, però la seva normativa gairebé no exigeix ciberseguretat.
- La investigació sobre Help Flash IO revela comunicacions sense xifrar, estació base falsa i un perillós mode OTA WiFi ocult sense autenticació.
- Aquestes debilitats permeten interceptar, manipular o falsificar avisos d'emergència, amb impacte directe a la privadesa i la gestió del trànsit.
- Fabricants i reguladors han d'elevar els requisits de seguretat i actualitzar dispositius ja venuts perquè la balisa compleixi la seva funció sense convertir-se en risc.
L'arribada obligatòria de les balises V16 connectades a Espanya ha convertit aquests petits dispositius en una peça clau de la nova seguretat vial digital. Substituiran els triangles, s'activen sense baixar del cotxe i envien la ubicació del vehicle a la plataforma DGT 3.0. Sobre el paper sona perfecte, però quan se n'examina la ciberseguretat amb lupa el panorama canvia, i molt.
En els darrers mesos, l'enginyer de telecomunicacions i hacker ètic Luis Miranda Acebedo ha destapat cinc vulnerabilitats crítiques en un model molt popular de balisa V16 connectada (Help Flash IoT, que es comercialitza també amb Vodafone). Les seves proves demostren que la combinació de comunicacions sense xifrar, un sistema de actualitzacions OTA insegur i ports de depuració accessibles converteixen aquestes balises en una possible baula feble dins una infraestructura de trànsit que se suposa crítica.
Context: què és una balisa V16 connectada i què exigeix la normativa
Les balises V16 connectades neixen de la normativa recollida al Reial Decret 159/2021 i l'actualització del Reglament General de Vehicles, que estableixen que, a partir de l'1 de gener de 2026, seran l'únic sistema legal per presenyalitzar un vehicle immobilitzat a la carretera a Espanya. L'objectiu principal és reduir el risc d'atropellament i millorar la gestió d'incidents.
Aquests dispositius es col·loquen al sostre del cotxe mitjançant un imant i emeten una llum ambre visible a 360 graus. La regulació fixa, a més, una sèrie de requisits tècnics relacionats amb la part lumínica: un camp de visibilitat horitzontal complet, un angle vertical mínim de ±8 graus i una intensitat d'entre 40 i 700 candeles a l'eix principal (i entre 25 i 600 candeles en aquests ±8 graus).
Pel que fa al parpelleig, la normativa exigeix que la freqüència de centelleig se situï entre 0,8 i 2 Hz perquè la llum sigui clarament perceptible com a senyal d'emergència. A més, les balises han d'assegurar un funcionament continu mínim de 30 minuts després de la seva activació, fins i tot en condicions adverses, ja sigui mitjançant piles reemplaçables o bateries.
La gran diferència amb els antics triangles és a la connectivitat: les balises V16 que compleixen la norma han d'incorporar una SIM o eSIM integrada que connecteu automàticament amb la plataforma DGT 3.0, enviant la localització GPS exacta del vehicle aturat, l'hora d'activació i altres paràmetres tècnics, tot això sense que el conductor hagi de fer servir el mòbil.
La normativa també obliga que el dispositiu ofereixi 12 anys de connectivitat garantida sense cost addicional per a lusuari. És a dir, el preu de compra inclou el servei de dades durant tota la vida útil contemplada per la DGT, sense quotes ni subscripcions posteriors.
El gran punt cec: la ciberseguretat no és a l'homologació
Tot i que el Reglament i les guies de la DGT baixen al detall sobre requisits de llum, visibilitat i connexió amb la plataforma DGT 3.0, la part de ciberseguretat brilla pel seu absència als documents públics. No es mencionen estàndards mínims sobre xifratge, autenticació o integritat dels missatges enviats per les balises.
A la pràctica, això significa que una balisa pot estar homologada amb el codi LCOE i lluir el corresponent codi (LCOE, IDIADA, etc.) complint els requisits funcionals d'il·luminació i connectivitat, però sense haver passat per una auditoria de ciberseguretat concreta. L'homologació se centra que la balisa es vegi i es connecti, no com protegeix les dades ni com gestiona les seves actualitzacions.
Aquest buit normatiu és el brou de cultiu perfecte perquè apareguin problemes com els descrits a l'anàlisi de Luis Miranda: dispositius oficialment vàlids que, tanmateix, presenten errors greus en xifratge, autenticació i gestió de firmware. Tot això en un entorn, el de la DGT 3.0, que ja es considera infraestructura crítica de trànsit.
Mentre les autoritats insisteixen que la balisa estigui connectada i certificada, gairebé no es parla de si el trànsit va xifrat, si els firmwares estan signats digitalment o si hi ha mecanismes robusts per impedir que un tercer manipuli el dispositiu. Aquesta bretxa entre allò que s'exigeix a l'usuari i allò que s'exigeix al fabricant és una de les claus del debat actual.
La investigació de Luis Miranda sobre Help Flash IoT
L'enginyer i hacker ètic Luis Miranda Acebedo ha centrat la seva anàlisi a la balisa Help Flash IoT, un dels models més venuts a Espanya i distribuït juntament amb Vodafone, que utilitza la xarxa NB-IoT/LTE-M de l'operador. Segons dades citades pel propi fabricant i la teleco, n'hi ha més de 250.000 unitats en circulació, cosa que multiplica l'abast potencial de qualsevol vulnerabilitat.
Per al seu estudi, Miranda va adquirir diverses balises al canal comercial, sense accés privilegiat al fabricant ni a l'operadora. L'anàlisi, publicat en obert i amb part del codi disponible a GitHub, descriu pas a pas com s'han fet les proves, encara que omet alguns detalls tècnics per evitar facilitar explotacions a gran escala.
D'aquesta feina en sorgeixen almenys cinc vulnerabilitats importants que es poden agrupar en tres grans vectors d'atac: accés a l' maquinari i ports de depuració, intercepció i manipulació de les comunicacions mòbils, i segrest del sistema dactualització OTA via WiFi ocult. Combinades, formen una mena de manual de “així no es dissenya la seguretat d'un dispositiu IoT crític”.
L'investigador va notificar inicialment aquests errors a l'INCIBE, però l'entitat va rebutjar assignar identificadors CVE al·legant que requerien “accés físic” al dispositiu. Posteriorment, Miranda va remetre el cas a MITRE perquè valorés si aquest tipus de problemes encaixen en la definició moderna de vulnerabilitat, tenint en compte que només cal prémer un botó durant vuit segons per activar un dels mecanismes més delicats del sistema.
Comunicacions mòbils en clar: privadesa i suplantació
El primer bloc de problemes està relacionat amb la manera com es comuniquen aquestes balises amb els servidors del fabricant i, per extensió, amb la plataforma de la DGT. Quan s'activa una Help Flash IoT, el dispositiu obté les coordenades GPS, recull certs paràmetres de xarxa i envia tota aquesta informació mitjançant la xarxa NB-IoT/LTE-M de Vodafone.
Segons l'anàlisi de trànsit realitzada per Miranda, aquests missatges s'envien usant un protocol tipus UDP propietari, però amb el contingut de l'aplicació a text pla, sense xifrat addicional. No hi ha TLS ni xifrat d'extrem a extrem que protegeixi allò que la balisa mana quan surt del seu petit maquinari cap a la infraestructura mòbil.
En aquests paquets viatgen dades molt sensibles: les coordenades GPS amb una precisió inferior a 5 metres (exigida per la DGT), l'IMEI associat a l'eSIM del dispositiu, informació sobre l'antena a què es connecta (identitat de la cel·la, intensitat de senyal, operador) i la marca temporal precisa del moment en què s'ha activat la balisa.
A més d'anar sense xifrar, la comunicació no està autenticada de forma robusta: el servidor receptor no disposa d'un mecanisme fort per comprovar que el missatge l'envia realment l'etiqueta que diu enviar-lo, més enllà d'identificadors que viatgen a la vista de qualsevol que intercepti el trànsit. Tampoc no hi ha un control d'integritat criptogràfica, de manera que no es verifica si el contingut ha estat modificat pel camí.
El resultat és un triple error respecte als principis bàsics de la seguretat de la informació: sense confidencialitat, sense autenticació i sense integritat. Un atacant amb accés al “veïnat” de xarxa adequat podria llegir les dades, fer-se passar per un dispositiu concret o alterar camps com la ubicació abans que arribin al servidor. És com si, en lloc de fer una trucada discreta a emergències, algú agafés un megàfon i anés cridant la seva direcció exacta al mig del carrer.
APN privat i estacions base LTE falses (fake eNodeB)
Quan parlem amb fabricants i operadors, l'argument recurrent és que aquestes comunicacions van encapsulades en un APN privat de l'operador mòbil, cosa que suposadament redueix el risc que qualsevol pugui treure el cap per aquest trànsit. Tot i això, l'informe de Miranda desmunta aquesta sensació de seguretat, que no deixa de ser una forma de “seguretat per foscor”.
Amb accés físic a una balisa o al seu port sèrie, un atacant podria extreure l'eSIM o replicar els paràmetres daccés a lAPN privat, convertint el que hauria de ser una xarxa molt tancada en un entorn molt més exposat. Fins i tot sense arribar a tant, fer servir el mateix dispositiu com a mòdem obre la porta perquè qui el controli es plante en aquesta xarxa suposadament aïllada.
A més, la tecnologia LTE i NB-IoT té un taló d'Aquil·les ben conegut: les estacions base falses o fake eNodeB. Amb maquinari relativament barat (una ràdio definida per programari, un ordinador amb Linux i programari lliure com srsRAN o OpenAirInterface), és possible aixecar una cèl·lula LTE que es faci passar per una antena legítima per als dispositius propers.
Les balises V16, inclòs el model Help Flash IoT, estan dissenyades per connectar-se a la antena que els ofereixi millor senyal disponible, sense fer gaires més comprovacions. Això permet construir escenaris d'atac on el delinqüent aixeca una estació base falsa que atrau totes les balises de l'entorn, capturant, bloquejant o modificant el trànsit a voluntat.
En una manera simple, l'estació falsa podria generar una denegació de servei: la balisa envia els seus missatges d'emergència, però aquests mai no arriben a la DGT perquè es queden atrapats a l'antena maliciosa. En un escenari més avançat, i si l'atacant aconsegueix accés a l'APN privat, es pot muntar un atac L'home del mig complet: llegir els missatges, canviar coordenades GPS o fins i tot injectar incidències falses associades a IMEI vàlids.
La porta oculta: un mode OTA WiFi activable amb un botó
La troballa més inquietant de l'informe de Miranda no és a la xarxa mòbil, sinó en un mecanisme d'actualització de microprogramari que el fabricant no documenta públicament. La balisa Help Flash IoT inclou un mode OTA via WiFi ocult que s'activa simplement mantenint premut el botó d'encesa durant uns vuit segons.
En fer aquesta pulsació llarga, la balisa entra en mode d'actualització i comença a cercar una xarxa WiFi concreta, amb un SSID i una contrasenya que estan incrustats al firmware i que, segons les proves de l'investigador, serien idèntics per a totes les unitats. És a dir, que milers de balises al mercat compartirien exactament les mateixes credencials d'accés.
Un cop connectada a aquest punt d'accés, la balisa contacta amb un servidor remot i descarrega una actualització de firmware o configuració a través de HTTP sense xifrat. No es fa servir HTTPS, ni es verifica la identitat del servidor mitjançant certificats, ni es comprova la signatura digital del fitxer de microprogramari que arriba al dispositiu.
Això implica que qualsevol actor capaç de muntar un punt daccés amb el nom de xarxa i la contrasenya apropiats, juntament amb un servidor DNS i HTTP que simuli el del fabricant, pot respondre a la trucada de la balisa i lliurar-li una imatge de microprogramari completament manipulada. La balisa, sense comprovacions criptogràfiques, la descarregarà i executarà com si fos legítima.
Segons descriu l'informe, el procés complet —premeu el botó, que la balisa es connecti al WiFi trampa, descarregueu el nou firmware i l'instal·leu— pot trigar menys d'un minut. Des de llavors, l'atacant tindria control total sobre el comportament del dispositiu, podent modificar el que envia, a qui ho envia o fins i tot desactivar funcions crítiques sense que l'usuari ho noti.
Accés al maquinari: ports de depuració i escalabilitat de l'atac
Tot i que la majoria d'escenaris de risc no requereixen obrir la carcassa de la balisa, la investigació també va identificar un problema en el maquinari mateix: en desmuntar una Help Flash IoT, Miranda va trobar un port de depuració UART exposat, connectat directament al processador principal i sense cap mena de protecció per contrasenya.
Amb unes simples pinces o cables connectats a aquests pins, és possible bolcar el contingut complet del sistema operatiu de la balisa, revisar com funciona internament, extreure paràmetres sensibles i, entre altres coses, obtenir les credencials del famós WiFi dactualització o laccés a lAPN privat de loperador.
Que un atacant aconsegueixi vulnerar una sola balisa mitjançant accés físic a l'UART no sembla dramàtic per si mateix, però el veritable problema és la escalabilitat de l'amenaça. A partir d'aquesta unitat compromesa, podeu desenvolupar firmwares maliciosos adaptats a milers de dispositius idèntics i reutilitzar credencials comuns per generalitzar l'atac.
Amb aquesta informació, resultarien viables escenaris com el desplegament de punts d'accés trampa en benzineres, tallers o àrees de servei pels quals passen milers de cotxes cada dia, forçant l'actualització silenciosa de les balises que entrin en mode OTA. Tot això a partir del coneixement obtingut dun sol dispositiu manipulat en laboratori.
A més, la informació interna serveix per construir millor les estacions base falses o per comprendre el protocol propietari amb què la balisa parla amb els servidors, facilitant la creació d'scripts que generin avisos d'emergència falsos a gran escala o bloquegin els reals, amb impacte directe sobre la DGT 3.0.
Escenaris d'explotació realistes
Les vulnerabilitats descrites no es queden en teories abstractes, sinó que es tradueixen en escenaris d'atac relativament assequibles per a un adversari amb coneixements mitjans de ciberseguretat i un pressupost modest. El mateix informe detalla diverses possibilitats preocupants.
En primer lloc, hi ha els tallers o comerços poc escrupolosos. Quan un cotxe passa per una revisió o una instal·lació d'accessoris, un empleat malintencionat pot agafar la balisa, mantenir premut el botó d'encesa durant aquests vuit segons crítics i, sense desmuntar res ni aixecar sospites, deixar que es connecti a un punt d'accés WiFi preparat prèviament per carregar un microprogramari manipulat.
Un altre escenari probable són les benzineres, centres comercials i àrees de servei on es munten xarxes WiFi parany. Qualsevol conductor que, per accident o curiositat, activeu el mode OTA de la vostra balisa als voltants podria veure com el dispositiu es connecta de forma automàtica a aquesta xarxa maliciosa i queda reprogramat sense adonar-se'n.
A una escala més gran, l'informe planteja la possibilitat d'utilitzar una furgoneta equipada amb una fake eNodeB per recórrer zones de trànsit intens i, des d'allà, interceptar les comunicacions de totes les balises V16 properes. Depenent de les capacitats de l'atacant, això permetria tant espiar ubicacions en temps real com simular accidents i avaries inexistents a punts estratègics.
Finalment, no es descarta que hi hagi usuaris que utilitzin aquestes debilitats per manipular la seva pròpia balisa, instal·lant un microprogramari que segueixi il·luminant però deixi d'enviar la posició a la DGT. El dispositiu continuaria semblant completament homologat des de fora, però s'hauria perdut de facto la “visibilitat virtual” que la DGT ven com un dels grans avantatges del sistema.
Obligatorietat, crítiques legals i desconfiança social
La decisió d'imposar les balises V16 connectades com únic sistema legal de presenyalització no ha estat exempta de polèmica. Poques setmanes després de l'entrada en vigor definitiva, han sorgit plataformes ciutadanes i associacions que qüestionen la mesura des de diversos fronts.
D'una banda, es critica el cost econòmic, que ronda els 40 euros de mitjana per dispositiu, en un context en què hi ha més de 35 milions de vehicles afectats. Diversos estudis apunten que un percentatge elevat de les balises que es venen a marketplaces com Amazon no compleixen tots els requisits d'homologació, cosa que exposa els conductors a multes d'entre 80 i 200 euros si són sancionats.
D'altra banda, diverses reclamacions trameses a la DGT citen el Reial decret 1030/2022 i plantegen dubtes en matèria de protecció de dades: es qüestiona la geolocalització automàtica i obligatòria del vehicle, la possible absència duna avaluació dimpacte específic (EIPD), la manca duna llei formal detallada que autoritzi tot el tractament de dades personals associat a DGT 3.0 i la poca claredat sobre qui accedeix a aquestes dades i amb quins fins.
També se subratlla que, fins ara, cap país de la Unió Europea exigeix una balisa connectada que remeti la ubicació directament a una autoritat pública. Això alimenta el debat sobre si Espanya s'ha avançat massa en la digitalització de la seguretat viària sense tancar abans tots els fronts legals i de seguretat tècnica.
Alhora, a les xarxes socials abunden els missatges d'usuaris que veuen en aquestes balises una forma de vigilància encoberta sobre els seus moviments, a la qual cosa sumen la sospita que l'Estat recapta voluminoses quantitats en IVA i que només unes quantes empreses es beneficien de l'obligació legal, sense que quedi clar qui se'n fa responsable si es demostra que un model certificat era insegur.
Què poden fer fabricants, reguladors i conductors
La investigació sobre Help Flash IoT s'ha convertit gairebé en un cas d'estudi per il·lustrar el que molts experts fa anys que adverteixen: a l'Internet de les Coses, i encara més quan hi ha dispositius obligatoris per llei, la seguretat no pot ser un afegit dúltima hora ni una simple casella a marcar en un Excel.
Pels fabricants, el camí passa per revisar de dalt a baix el disseny de les seves balises: implementar xifrat d'extrem a extrem en les comunicacions amb el backend, utilitzar autenticació mútua entre dispositiu i servidor, incorporar signatures digitals i arrencada segur (secure boot) al microprogramari i tancar qualsevol mecanisme d'actualització que no estigui protegit amb estàndards actuals.
Els reguladors i la pròpia DGT haurien de plantejar-se elevar el llistó de l'homologació per a aquests dispositius, incloent-hi requisits de ciberseguretat clars: xifrat mínim obligatori, gestió de claus, autenticació forta i actualització segura com a condició imprescindible per donar el vistiplau a un model. A més, serien desitjables auditories tècniques independents abans i després de la certificació.
També és clau millorar els programes de divulgació i gestió coordinada de vulnerabilitats, facilitant que investigadors com Miranda puguin comunicar errors de forma responsable i que fabricants i administracions reaccionin amb transparència, sense que tot es quedi perdut en uns llimbs administratius per matisos com si un botó premut vuit segons és o no “accés físic”.
Pel que fa als conductors, el seu marge de maniobra és limitat: han de portar una balisa V16 connectada homologada per evitar sancions, però sí que poden exigir informació clara, actualitzacions de seguretat i transparència per part dels fabricants i de la pròpia DGT. El que no té sentit és manipular el dispositiu per compte propi, perquè, a més d'il·legal, els pot deixar venuts en una emergència.
Tot aquest debat cristal·litza en una idea senzilla: unes balises V16 connectades ben dissenyades poden ser una eina molt potent per reduir atropellaments i gestionar millor el trànsit, però quan la seva ciberseguretat es deixa en segon pla es converteixen en una combinació perillosa de baixa visibilitat física, geolocalització obligatòria i vulnerabilitats explotables; justament el contrari del que s'espera d'un dispositiu creat, en teoria, per salvar vides.
Redactor apassionat del món dels bytes i la tecnologia en general. M'encanta compartir els meus coneixements a través de l'escriptura, i això és el que faré en aquest bloc, mostrar tot el més interessant sobre gadgets, programari, maquinari, tendències tecnològiques, i més. El meu objectiu és ajudar-te a navegar pel món digital de forma senzilla i entretinguda.