El mercado español de Internet de las Cosas (IoT) ha experimentado un crecimiento notable, impulsado principalmente por la obligación inminente de los conductores de llevar una baliza de señalización V16 conectada, que sustituirá a los tradicionales triángulos de emergencia a partir de enero de 2026.

En este contexto de expansión, Telefónica Tech se ha consolidado al frente del mercado español de IoT, registrando 17 millones de dispositivos conectados al cierre de noviembre.

La operadora asegura ostentar el liderazgo en el mercado nacional, suponiendo un incremento del 240% en lo que va de año, ya que a finales de 2024 registraba 5,018 millones de líneas. Este impulso se basa en la comercialización de las balizas conectadas, además de proyectos de digitalización en sectores como la salud, la industria y las utilities (agua y gas). Telefónica Tech suministra la conectividad IoT a más del 70% de los modelos de balizas V16 certificadas por la DGT. Esta conectividad permite comunicar de manera segura, exacta y anónima la geolocalización del vehículo detenido a la plataforma de la DGT para alertar a otros usuarios de la vía.

Dudas de ciberseguridad en un dispositivo obligatorio

Paralelamente a este crecimiento tecnológico, han surgido dudas sobre la seguridad y gestión de los datos de estos dispositivos de seguridad vial. Un investigador en ciberseguridad ha publicado en GitHub el análisis de diversas vulnerabilidades que parecen ser comunes a todos los dispositivos.

La principal preocupación recae en la implementación de las comunicaciones. Según el informe, la baliza envía la información de emergencia a los servidores del fabricante y, finalmente, a la DGT 3.0, sin ningún tipo de cifrado (en texto plano). Además, la conexión no está autenticada, lo que significa que el receptor no puede verificar si el mensaje proviene de la baliza auténtica o de un dispositivo que la esté suplantando.

Los datos expuestos transmitidos en claro

El análisis permitió extraer los datos sensibles que se transmiten sin cifrar. La exposición de esta información en texto plano crea un riesgo de privacidad y facilita la suplantación. Los datos expuestos incluyen las coordenadas GPS exactas, es decir, la ubicación precisa del vehículo detenido por avería o accidente. También se transmiten el IMEI del dispositivo, el identificador único de la baliza, el timestamp o momento exacto en que se activó la baliza, y los parámetros de red como el Cell ID, la intensidad de la señal y el operador.

Esta ausencia de mecanismos de seguridad también implica la falta de mecanismos de integridad del mensaje, lo que podría permitir que los datos fueran manipulados o alterados durante la transmisión.

La situación resulta paradójica tratándose de un dispositivo obligatorio por ley y crítico para la seguridad vial, integrado con infraestructura nacional de la DGT 3.0. Luis Miranda, el investigador, compara la debilidad de la seguridad en estos dispositivos con enviar la información crítica gritándola por un megáfono, permitiendo a cualquier persona que monitorice el tráfico de red interceptar y rastrear la ubicación en tiempo real. Esta situación podría permitir desde el espionaje hasta la generación de falsas alarmas masivas o impedir que lleguen alertas reales.