Vulnerabilidades nas balizas V16 conectadas: cando a seguridade viaria se volve insegura

Unha análise técnica realizada por Luis Miranda, compañeiro de A Industriosa e investigador en ciberseguridade, puxo o foco nun aspecto pouco coñecido dalgunhas balizas V-16 conectadas: a presenza de funcionalidades Wi-Fi non documentadas que poderían empregarse para procesos de actualización do dispositivo e que, segundo o publicado, presentan debilidades relevantes dende o punto de vista da seguridade. 

Un dispositivo clave para a seguridade viaria

As balizas V-16 conectadas están chamadas a substituír os triángulos de emerxencia e, no caso do modelo Help Flash IoT comercializado con conectividade IoT, serán obrigatorias en España a partir do 1 de xaneiro de 2026. Vodafone indicou que xa comercializou máis de 250.000 unidades deste tipo de baliza conectada, con envío de xeolocalización cara á plataforma DGT 3.0. 

Que se descubriu

A investigación identifica, no modelo analizado, un cliente Wi-Fi oculto que se activa cunha pulsación prolongada e que tenta conectarse automaticamente a unha rede preconfigurada para descargar e instalar unha actualización de firmware. O punto crítico é que este fluxo, sempre segundo a publicación, podería executarse sen mecanismos robustos de autenticación e integridade, ao empregar comunicacións en claro (HTTP) e sen garantías criptográficas suficientes.

Ademais, tamén se sinalan outros riscos asociados ao ecosistema IoT destas balizas, como comunicacións sen cifrar e ausencia de verificación forte entre extremos en determinados intercambios, elementos que en conxunto incrementan a superficie de ataque.

Por que importa

Cando un dispositivo é homologado, masivamente distribuído e orientado a infraestrutura crítica (seguridade viaria), a esixencia en seguridade debería ser equivalente á criticidade do seu uso: actualizacións verificables, canles cifradas, autenticación estrita e auditorías independentes. O debate que abre esta investigación vai, precisamente, nesa dirección: como garantir que o “IoT por defecto” cumpra estándares de seguridade acordes ao seu impacto real.

Dende A Industriosa, celebramos este tipo de traballos de análise con enfoque responsable, porque axudan a elevar o nivel de esixencia técnica e a mellorar o ecosistema tecnolóxico que nos rodea.