En poco más de tres semanas, la baliza V16 conectada pasará a tener que estar presente, de manera obligatoria, en la guantera de los coches, el «bolsillo» de la puerta del conductor o, en general, en cualquier espacio de almacenamiento que sea accesible, de manera inmediata, desde el asiento del conductor (no vale guardarla en el maletero, como he escuchado ya en alguna ocasión). Seguramente habrá sido uno de los objetos más vendidos el pasado Black Friday y, muy probablemente, también sea uno de los regalos estrella en la ya inminente Navidad.
En este contexto, se ha generalizado un debate sobre la seguridad de la misma, en términos de privacidad del usuario. Se han generado muchas dudas sobre si la baliza V16 conectada envía información personal a los servidores de la DGT, o en su defecto a cualquier otro destino sin nuestro conocimiento. Y por norma general la respuesta es que no, este dispositivo integra conectividad propia, es decir, no dependiente de la de su usuario, dicha conectividad no se asocia a una cuenta de usuario y, además, la baliza solo se conecta a Internet cuando es activada por el usuario para señalizar que ha sufrido una incidencia, accidente, etc.
Ahora bien, que su especificación base, a la que deben responder todos los modelos homologados por la DGT se circunscriba a esta definición, no significa (desgraciadamente) que todos los fabricantes de las mismas se ajusten al dedillo a la misma. Y esto es lo que nos revela una investigación llevada a cabo por Luis Miranda, un hacker ético que ha puesto la baliza V16 Help Flash IoT, producida por la empresa gallega Netun Solutions y comercializada por Vodafone, de la que la teleco ya había vendido más de un cuarto de millón de unidades a principios de este año. Y el resultado no es el que cabía desear. Hay que aclarar antes, eso sí, que algunos de estos problemas son comunes a la plataforma, pero hay otros específicos, concretamente los relacionados con conectividad Wi-Fi, que parecen apuntar especialmente a este modelo.

Las primeras pruebas realizadas a la Help Flash IoT confirman un problema tan básico como alarmante: la baliza transmite todos sus datos en texto plano, sin ningún tipo de cifrado ni autenticación. Esto implica que información extremadamente sensible —como la posición GPS exacta, el IMEI, los parámetros de red o la fecha y hora de activación— viaja tal cual, sin protección alguna, a través de una infraestructura que se presupone privada, pero que en realidad no ofrece garantías frente a accesos no autorizados. La ausencia total de mecanismos de integridad permite incluso modificar esa información en tránsito, lo que podría distorsionar la ubicación real de un vehículo accidentado. Y aunque la operadora alegue que todo se efectúa a través de un APN privado aislado, esa supuesta “muralla” se debilita en el momento en que los propios parámetros de conexión son accesibles desde el puerto serie del dispositivo, lo que convierte la seguridad por oscuridad en un mito peligrosamente frágil.
A ese riesgo se suma otro todavía más inquietante: la baliza puede ser engañada para conectarse a estaciones base LTE falsas. Con hardware relativamente asequible y software libre, un atacante puede montar una fake eNodeB que, mediante técnicas de jamming selectivo, fuerce al dispositivo a abandonar la red legítima y conectarse a la antena falsa. A partir de ahí, todo el tráfico —ya de por sí sin cifrar— puede ser interceptado, leído, almacenado, modificado o directamente desviado al vacío para impedir que una emergencia real llegue a la DGT. En su modalidad más avanzada, si el atacante dispone de una eSIM previamente extraída de otro dispositivo comprometido, puede incluso establecer un ataque de “man in the middle” completo, enviando datos manipulados a la infraestructura oficial sin que esta tenga forma alguna de detectar el fraude. Que un dispositivo concebido para situaciones críticas pueda ser manipulado de este modo desde una furgoneta aparcada a varios cientos de metros es, cuanto menos, inquietante.
Pero nada de lo anterior se acerca, ni de lejos, a la gravedad del fallo relacionado con el sistema de actualizaciones OTA. La Help Flash IoT incorpora un modo de actualización por WiFi totalmente oculto al usuario, que se activa simplemente manteniendo pulsado el botón ocho segundos. Este mecanismo conecta automáticamente la baliza a un punto de acceso cuya contraseña es idéntica al SSID y, lo peor de todo, compartida por todos los dispositivos del fabricante. Una vez conectada, la baliza descarga el firmware usando HTTP sin cifrado, sin verificación del servidor y sin firma digital del software recibido. En otras palabras: cualquiera que sepa cómo activar ese modo puede hacer que la baliza instale un firmware modificado sin que el dispositivo compruebe absolutamente nada. Este es, sin ninguna duda, el mayor agujero de seguridad, porque permite a un atacante transformar un acceso trivial en un control total, permanente y sigiloso del dispositivo.

El resultado es un efecto cascada devastador. Una vez que un atacante instala un firmware manipulado, desaparece la necesidad de disponer de acceso físico o de realizar ataques complejos sobre la red móvil: el propio dispositivo pasa a ser una herramienta del atacante, capaz de conectarse al APN privado, enviar tramas arbitrarias al servidor, suplantar a otras balizas, generar falsas alertas o incluso provocar denegaciones de servicio masivas. Vulnerabilidades que por separado podrían parecer de impacto limitado se vuelven extremadamente críticas al combinarse con la OTA sin autenticación. La seguridad queda reducida a una serie de capas débiles que, una vez perforadas, permiten un nivel de control que jamás debería ser posible en un dispositivo homologado y reconocido oficialmente como parte del sistema de seguridad vial de un país.
Este escenario teórico se vuelve mucho más inquietante cuando analizamos casos realistas de explotación. Un taller podría comprometer discretamente la baliza durante una revisión rutinaria; zonas de alto tráfico, como gasolineras o centros comerciales, podrían emplearse para capturar dispositivos en modo OTA mediante puntos de acceso maliciosos; un usuario con conocimientos limitados podría modificar su propia baliza para evitar que transmita información, creando un dispositivo aparentemente legal pero en realidad no funcional; y, por supuesto, la posibilidad de recorrer una autovía con una fake eNodeB portátil permitiría interceptar o manipular las alertas de todos los vehículos cercanos. Son escenarios plausibles, con requisitos técnicos moderados y un impacto potencial enorme.
Todo esto desemboca en una conclusión tan incómoda como necesaria: estamos ante un producto obligatorio por ley, homologado por la administración, vendido a millones de conductores y destinado a actuar en situaciones críticas, que sin embargo presenta un conjunto de fallos de seguridad impropios incluso de dispositivos de consumo de bajo coste, no digo ya de un elemento integrado en infraestructura nacional. La Help Flash IoT de Netun Solutions no es un caso aislado, pero sí un ejemplo paradigmático de lo que ocurre cuando innovación, IoT y seguridad chocan sin supervisión adecuada. Y pone sobre la mesa una pregunta inevitable: si un dispositivo tan sensible y tan regulado puede llegar al mercado con deficiencias de este calibre, ¿cuántos otros elementos supuestamente seguros dependen de sistemas igual de frágiles?
 
Imagen de apertura: DGT
La entrada ¿Tienes la baliza V16 de Netun Solutions? Pues mucho ojo se publicó primero en MuyComputer.