En poco más de tres semanas, las balizas V16 conectadas se introducirán en las guanteras de los cochesun «bolsillo» en la puerta del conductor, o en general, cualquier espacio de almacenamiento al que se pueda acceder directamente desde el asiento del conductor (no vale guardar en el maletero, como he oído en ocasiones). Seguramente será uno de los artículos más vendidos del año pasado en el Black Friday y probablemente también será uno de los regalos estrella las próximas Navidades.

En este contexto, Cuando se trata de la privacidad del usuario, existe un debate generalizado sobre su seguridad.. Se han planteado muchas dudas sobre si las balizas V16 conectadas envían información personal a los servidores de la DGT, o a cualquier otro destino sin nuestro conocimiento. En general la respuesta es no, el dispositivo integra su propia conexión, es decir, no depende de la conexión de su usuario, dicha conexión no está asociada a la cuenta del usuario, además la baliza solo se conecta a Internet cuando es activada por el usuario para indicar que sufrió un evento, accidente, etc.

Ahora su especificación básica (a la que deben responder todos los modelos homologados por la DGT) se limita a esta definición, Esto no significa (desafortunadamente) que todos los fabricantes cumplan estrictamente las mismas regulaciones.. Así nos lo revela una investigación realizada por Luis Miranda, donde un hacker ético instaló la baliza IoT V16 Help Flash, producida por la empresa gallega Netun Solutions y comercializada por Vodafone, empresa de telecomunicaciones que ha vendido más de 250.000 unidades a principios de este año. Y el resultado no es el que queremos. Por supuesto, lo primero que hay que aclarar es que algunos de estos problemas son comunes a esta plataforma, pero hay otros problemas específicos, sobre todo relacionados con la conectividad Wi-Fi, que parecen ser propios de este modelo.

Las primeras pruebas realizadas con Help Flash IoT confirmaron un problema básico y preocupante: Las balizas transmiten todos los datos en texto plano sin ningún cifrado ni autenticación.. Esto significa que información extremadamente sensible (como ubicación GPS precisa, IMEI, parámetros de red o fecha y hora de activación) se transmite tal cual, sin ninguna protección, a través de una infraestructura que se supone es privada pero que en realidad no garantiza que impida el acceso no autorizado. este La total falta de mecanismos de integridad permite incluso que esta información se modifique durante la transmisión.lo que podría distorsionar la ubicación real del vehículo accidentado. Aunque los operadores afirman que todo se hace a través de un APN privado y aislado, este llamado «muro» se debilita cuando se puede acceder a los parámetros de conexión desde el puerto serie del dispositivo, convirtiendo una seguridad oscura en un mito peligroso y frágil.

Además de este riesgo, existe otro riesgo más preocupante: Se puede engañar a las balizas para que se conecten a estaciones base LTE falsas. Con hardware relativamente asequible y software gratuito, Un atacante puede configurar un eNodeB falso y, mediante técnicas de interferencia selectiva, forzar al dispositivo a abandonar la red legítima y conectarse a la antena falsa.. Desde allí, todo el tráfico no cifrado puede ser interceptado, leído, almacenado, modificado o desviado directamente al vacío para evitar que verdaderas emergencias lleguen a la DGT. En su forma más avanzada, si un atacante posee una eSIM previamente extraída de otro dispositivo comprometido, puede incluso configurar un ataque completo de «hombre en el medio», enviando datos manipulados a la infraestructura oficial que no podría detectar el fraude. Que equipos diseñados para emergencias pudieran manipularse de esta manera desde una furgoneta estacionada a cientos de metros de distancia era, cuanto menos, desconcertante.

Pero estos son mucho menos graves que los fallos relacionados con el sistema de actualización OTA. Help Flash IoT incluye un modo de actualización WiFi completamente oculto para el usuario y que se puede activar simplemente manteniendo pulsado el botón durante ocho segundos. El mecanismo conecta automáticamente la baliza a un punto de acceso que tiene la misma contraseña que el SSID y, lo peor de todo, ese punto de acceso es compartido por los dispositivos de todos los fabricantes. Una vez conectada, la baliza descargará el firmware mediante HTTP sin cifrado, verificación del servidor ni firma digital del software recibido. En otras palabras: cualquiera que sepa cómo activar el modo puede hacer que la baliza instale un firmware modificado sin que el dispositivo tenga que comprobar nada. Este es sin duda el mayor fallo de seguridad, ya que permite a los atacantes convertir un acceso trivial en un control completo, permanente y encubierto de un dispositivo.

El resultado es un devastador efecto en cascada. Una vez que un atacante instala un firmware cuidadosamente diseñado, desaparece la necesidad de acceso físico o ataques sofisticados a las redes móviles: El dispositivo en sí se convierte en una herramienta para los atacantes, capaz de conectarse a APN privados.enviando tramas arbitrarias al servidor, suplantando otras balizas, generando alertas falsas o incluso provocando una denegación masiva de servicio. Una vulnerabilidad de impacto aparentemente limitado se vuelve extremadamente grave cuando se combina con OTA no autenticadas. La seguridad se reduce a una serie de capas débiles que, una vez perforadas, permiten un nivel de control no posible en equipos homologados y reconocidos oficialmente como parte del sistema nacional de seguridad vial.

Este escenario teórico se vuelve aún más inquietante cuando analizamos casos de explotación de la vida real. Las tiendas pueden destruir discretamente las balizas durante las inspecciones de rutina; Las áreas de mucho tráfico, como gasolineras o centros comerciales, se pueden utilizar para capturar dispositivos en modo OTA utilizando puntos de acceso no autorizados.; Los usuarios con conocimientos limitados pueden modificar sus propias balizas para evitar que transmitan información, creando un dispositivo que parece legítimo pero que en realidad no funciona; y, por supuesto, si se utiliza un eNodeB falso portátil para conducir por la autopista, las alertas de todos los vehículos cercanos pueden ser interceptadas o manipuladas. Estos son escenarios razonables con requisitos técnicos moderados y un gran impacto potencial.

Todo esto lleva a una conclusión inquietante y necesaria: estamos ante un producto legalmente requerido, aprobado por el gobierno, vendido a millones de conductores y diseñado para actuar en situaciones críticas y, sin embargo, Existe una variedad de fallas de seguridad y es inapropiado incluso para dispositivos de consumo de bajo costo.no me refiero a elementos que estén integrados a la infraestructura nacional. Help Flash IoT de Netun Solutions no es un caso aislado, sino un excelente ejemplo de lo que sucede cuando la innovación, la IoT y la seguridad chocan sin una regulación adecuada. Esto plantea una pregunta inevitable: si un dispositivo tan sensible y regulado puede ingresar al mercado con un defecto tan grave, ¿cuántos otros elementos llamados seguros dependen de sistemas igualmente vulnerables?

Imagen de apertura: DGT