El peligro oculto de las balizas V16 que va a afectar a todos los conductores en España

A partir del 1 de enero de 2026, todos los conductores tendrán la obligación de llevar la baliza V16 en el coche. La medida, impulsada por la Dirección General de Tráfico (DGT), nació con el objetivo de mejorar la seguridad vial y reducir atropellos en carretera. Sin embargo, desde su anuncio, la implantación de estos dispositivos ha estado rodeada de polémica.

A las dudas sobre su utilidad real y la proliferación de balizas no homologadas, se suma ahora un problema mucho más grave: la ciberseguridad. Un análisis reciente ha revelado que más de 250.000 balizas V16 podrían estar afectadas por graves vulnerabilidades, poniendo en cuestión no sólo su fiabilidad técnica, sino también la seguridad del sistema en su conjunto.

Más de 250.000 balizas V16 en riesgo

Luis Miranda Acebedo, experto en ciberseguridad, ha publicado un análisis exhaustivo sobre la seguridad digital de una baliza V16 concreta: el modelo Help Flash IoT. Sin embargo, aunque el análisis se centra en este modelo, Miranda advierte de que «los problemas de seguridad encontrados en la parte de comunicaciones parecen ser comunes a todos los dispositivos». Entre las vulnerabilidades detectadas se encuentran:

• Envío de datos en texto plano: la baliza transmite coordenadas GPS exactas, el IMEI y parámetros de red sin ningún tipo de cifrado.
• Falta de autenticación e integridad: no existen mecanismos que permitan verificar que el servidor con el que se comunica la baliza es legítimo ni que los mensajes no hayan sido modificados durante el envío.
• Susceptibilidad a estaciones falsas: es posible suplantar una torre de telefonía para interceptar las comunicaciones, bloquear el envío de alertas o incluso inyectar datos falsos.
• Exposición del APN privado: aunque el dispositivo utiliza una red privada de Vodafone, los comandos de conexión y las claves están expuestos en el puerto de depuración.

El propio investigador califica a la baliza Help Flash IoT como «un auténtico coladero» desde el punto de vista de la seguridad digital.

El problema de las actualizaciones OTA

Los fallos no se limitan a las comunicaciones. El sistema de actualizaciones OTA (Over-The-Air) presenta también graves deficiencias que multiplican el riesgo.

Según el análisis de Miranda, basta con mantener pulsado el botón de encendido durante ocho segundos para que la baliza active una red Wi‑Fi de mantenimiento. El problema es que el nombre de la red (SSID) y la contraseña son idénticos y están incrustados en el firmware. Lo más alarmante es que estas credenciales coinciden en distintas unidades probadas, lo que sugiere que son las mismas para los más de 250.000 dispositivos vendidos. A esto se suman otros fallos críticos:

• Uso de HTTP sin cifrar para descargar el firmware, lo que permite interceptar y modificar el archivo.
• Ausencia de firma digital, por lo que el dispositivo acepta cualquier firmware, incluso malicioso.
• Vulnerabilidad a ataques de DNS Spoofing, al no usar DNSSEC.
• Puerto de depuración abierto, accesible físicamente sin contraseña y con acceso a información sensible.

Hackear una baliza: fácil, rápido y barato

El investigador demostró que hackear una baliza V16 es sorprendentemente sencillo. Con un dispositivo que simula una antena de telefonía móvil, cuyo coste oscila entre 500 y 1.000 euros, y utilizando software libre junto a una Raspberry Pi o un portátil, es posible interceptar y manipular las comunicaciones. Miranda logró hackear una baliza en apenas 60 segundos e instalar un firmware malicioso con control total del dispositivo.

La respuesta del fabricante

Ante la publicación del informe, Netun Solutions, fabricante de las balizas, emitió un comunicado para intentar aclarar la situación. La empresa reconoce que la baliza transmite geolocalización, un identificador del dispositivo y algunos parámetros técnicos, aunque subraya que no se transmiten datos personales como matrículas o documentos de identidad.

La postura de Vodafone

«Las balizas V16 homologadas y comercializadas por Vodafone España constituyen un sistema adecuado y conforme a la normativa vigente para señalización de emergencias en carretera. En particular, Help Flash IoT está certificada conforme a la normativa exigida por la Dirección General de Tráfico (DGT) para balizas V16 conectadas, cumpliendo los requisitos técnicos necesarios en cuanto a visibilidad (intensidad luminosa suficiente), resistencia, fiabilidad del destello, duración de la señal, etc. Dichos requisitos incluyen también los protocolos de comunicación de datos de la baliza con los servidores.

Las balizas V16 cuentan con mecanismos internos de seguridad y la red de Vodafone provee de una capa de seguridad adicional con controles que aseguran que la comunicación se hace desde la baliza autorizada por la red. Por otra parte, las balizas integran conectividad NB-IoT, lo que garantiza que la baliza solo sea utilizada para la localización en caso de emergencia por las entidades autorizadas y con conocimiento del usuario. La comunicación que transita por Vodafone lo hace en todo momento por una red privada lo que garantiza la protección de la información que emite la baliza», explica uno de los portavoces de Vodafone a Xataka.