Balizas v16: Los árboles que no dejan ver el bosque

Mucho se ha hablado (y se está hablando) sobre las Balizas v16 con geolocalización para señalizar averías en tiempo real de la DGT, las cuales son obligatorias a partir del 1 de enero de 2026 por el Real Decreto 1030/2022 que modifica el 159/2021. El eje principal de la discusión está focalizado en el “ataque a la privacidad” que se presupone por parte de este tipo de dispositivos al realizar el envío de datos de geolocalización cuando se activan. 

Figura 1: Balizas v16 - Los árboles que no dejan ver el bosque

Sin embargo, en este nuevo sistema de alerta de la DGT, ¿es cierta tal preocupación o nos la hemos auto-generado para evitar ver lo que hay más allá? Vamos a desarrollarlo un poco.

Figura 2: Real Decreto 1030/2022

Las Balizas v16 son dispositivos IoT que disponen de una SIM para comunicarse con los servidores de sus respectivos fabricantes con el objetivo de que éstos puedan agregar y preparar la información antes de derivarla a los servidores de la DGT.

Como dispositivos IoT que son, su producción escalable y asequible deriva en deficiencias de seguridad al no incorporar distintos módulos hardware que proporcionan capacidades avanzadas de cómputo, almacenamiento seguro, u otras características relevantes.  En este sentido, existe ya algún algún que otro análisis pormenorizado de estas deficiencias como el realizado por Luis Miranda disponible en su propio Github.

Figura 3: Vulnerabilidades en Balizas V16 Conectadas

Ahora bien, como explico en el Capítulo VI de Arquitecturas en el Internet de las Cosas de mi libro Arquitectura de Seguridad y Patrones de Diseño Seguro, si queremos suplir dichas deficiencias de seguridad, las balizas v16 deben contar con capacidades de cómputo suficientes para utilizar protocolos de seguridad robustos, almacenamiento seguro anti manipulación para custodiar las credenciales de identificación del dispositivo así como los certificados para las comunicaciones seguras, capacidades de gestión de auto registro en el sistema tras su encendido y gestión de ciclo de vida de todas sus credenciales custodiadas, entre otros. 

Figura 4: "Arquitectura de Seguridad y Patrones de Diseño"

El nuevo libro de 0xWord escrito por Elías Grande.

La incorporación de todas estas características en los dispositivos IoT producirían un aumento sustancial del precio de compra de las Balizas v16 (así como el consumo de batería que necesitaría una baliza para soportar todo lo descrito anteriormente). Teniendo esto en mente y que si no fueran asequibles por parte de los ciudadanos sería complejo que un Real Decreto nos obligase a comprarlas, ¿tanto riesgo para la privacidad implica su uso?

Análisis

Partiendo de la base de que no soy jurista y evitando interpretaciones artificiosas de la norma, si leemos el Reglamento General de Protección de Datos (RGPD) se indica objetivamente que la geolocalización se considera un Dato Personal si ésta permite identificar directa o indirectamente a una persona física.

En base a esta premisa, si analizamos la Baliza v16, la tarjeta SIM está asociada sólo al dispositivo IoT y no existe relación contractual del ciudadano con la SIM (como sí ocurre entre el ciudadano y la SIM de la teleoperadora que le proporciona voz y datos en su terminal móvil). Esto independiza completamente la identidad del individuo de la Baliza v16 que utiliza.

Es más, el único momento en el que se podría intentar ligar uno a uno la baliza con el ciudadano podría ser en el momento de compra siempre que ésta se realice con tarjeta y sólo sea una unidad (en este caso se podría intentar ligar el número de la tarjeta con el número de serie / IMEI, aunque habiendo datos de tarjeta ya nos metemos en otro jardín con PCI DSS aún mayor y por tanto podemos descartar dicha vinculación).

Al no existir entonces esa vinculación baliza-ciudadano sino que los datos de geolocalización están asociados SÓLO a la baliza activa (dispositivo IoT sin identidad de persona física), no aplicaría un análisis de riesgos de privacidad LINDDUN ya que la única forma de conocer la identidad del sujeto que activa la baliza es estar presente en la misma geolocalización en la que dicha baliza está activa.

Mapa Balizas v16  

En base a esto, y a que en muchas ocasiones en las grandes superficies de venta hay Balizas v16 activas como reclamo visual para su compra, ¿qué persigue el poder disponer de un mapa de España con las balizas activas en cada momento?

Figura 5: Mapa de Balizas en España

Presuponiendo el buen hacer de la DGT, se puede entender que el objetivo principal de disponer de toda esta información de averías en tiempo real es la de, en un futuro tras el análisis estadístico de los datos, actualizar los puntos negros en carretera para, por ejemplo, modificar la señalización o incorporar nuevos radares (fijos, móviles, de tramo, etcétera).

Figura 6: Información de baliza

Esta presuposición se apoya en que la baliza de por sí no es un sistema de emergencia ya que no está conectada al 112 ni tiene capacidad de determinar si se necesita una ambulancia, bomberos o policía, o si sólo se requiere una grúa. 

Teniendo en cuenta todo lo descrito anteriormente y sabiendo que hay múltiples fabricantes homologados, la arquitectura simplificada de todo este sistema sería algo así:

Figura 7: Arquitectura con fabricantes homologados

A partir de esta visión holística y presuponiendo el caso de uso de fines estadísticos para actualizar los puntos negros de la seguridad vial española, el eje de la privacidad motivo de muchas discusiones sobre las Balizas v16 debería cambiar a un eje más propio de ciberseguridad.

Desde dicho punto de vista de ciberseguridad, si analizamos el sistema planteado en su conjunto basándonos en el modelo de amenazas STRIDE, vemos que de inicio, los ejes de integridad y no repudio parecen no haberse tenido en cuenta, pudiendo derivar en graves riesgos para todo el sistema.

Figura 8: Modelo STRIDE

Una posible amenaza podría ser meter dentro de una caja de zapatos varias Balizas v16 legítimas de distintos fabricantes encendidas: la caja para evitar los destellos de luz y lo de que sean de distintos fabricantes para que no se pueda bloquear fabricantes concretos por uso indebido (algo así como un DDoS con balizas).

Con este simple planteamiento teórico a priori se podrían generar accidentes/averías falsas con balizas homologadas, lo cual comprometería la integridad de los datos del sistema en su conjunto al introducir datos corruptos y, con capacidad de repudio por parte del portador de la caja al no existir una vinculación 1:1 entre ciudadano y balizas.

Este modelo de amenaza teórica se materializó en 2020 por un artista alemán que “paseó” 99 móviles en un carrito para que Google Maps creyera que existían atascos de tráfico, lo cual apoya la hipótesis de un posible riesgo estructural en el sistema de alertas de Balizas v16 de ser factible un ataque similar a este.

Eso sí, si cuando se enciende tu Baliza v16 tu eres el único que va en el coche, y tienes encendido tu móvil, alguien que tenga la localización de tu móvil podría asociarlo con esa baliza y pasar a estar asociada con ese móvil en el futuro. Así que el problema sigue siendo: ¿qué apps o empresas tiene la localización de tu móvil? Asociar tu Baliza v16 a tu perfil les dará... más información, sobre que probablemente fuiste tú el que activó la Baliza v16.

  
Conclusiones

Como punto final del análisis se puede concluir que, el riesgo de uso de las Balizas v16 no se focaliza tanto en un ataque a la privacidad del ciudadano sino en el uso malintencionado que se puede hacer de ellas en perjuicio del sistema en su conjunto. 

Dicho uso malintencionado puede provocar que el sistema en sí, el cual se diseñó por el bien de la ciudadanía enfocado en la seguridad vial, recopile datos incorrectos que perviertan el posterior análisis en detrimento de la seguridad vial de todos los españoles y de las posibles futuras mejoras.

Saludos,

Autor: Elías Grande (Contactar con Elías Grande)  

 Contactar con Elías Grande