A partir del 1 de enero de 2026, las carreteras españolas serán testigos de un significativo cambio en materia de seguridad vial, al requerir que todos los vehículos sustituyan los tradicionales triángulos de emergencia por balizas luminosas V16 conectadas a la plataforma DGT 3.0. Estas balizas, que utilizan tecnología de geolocalización y conectividad IoT, buscan alertar de manera más eficiente a los conductores y a los centros de control de tráfico de cualquier incidencia sin que el conductor deba abandonar su vehículo.
Sin embargo, una reciente investigación ha puesto en duda la seguridad de estos dispositivos. El estudio, liderado por el investigador independiente Luis Miranda Acebedo y publicado el 5 de diciembre de 2025, expone una serie de vulnerabilidades en el modelo Help Flash IoT, uno de los más populares en el mercado español. Este dispositivo, comercializado junto a Vodafone y homologado por la DGT, ha revelado fallos críticos en su diseño que podrían comprometer tanto la privacidad de los conductores como la integridad del sistema de tráfico nacional.
Help Flash IoT es una creación de Netun Solutions y se caracteriza por su capacidad de fijarse magnéticamente en el techo del vehículo, emitir una luz visible a un kilómetro y comunicar automáticamente la ubicación del coche detenido a la DGT 3.0. No obstante, el informe de Miranda destaca dos áreas de riesgo: la ausencia de cifrado y autenticación robusta en las comunicaciones móviles, y un sistema de actualización OTA por WiFi, no documentado y vulnerable.
Las balizas transmiten información en texto claro sin mecanismos de autenticación firmes, lo que facilita a terceros interceptar, falsificar o manipular estos datos. Esta vulnerabilidad podría ser aprovechada para rastrear vehículos en tiempo real, suplantar dispositivos o alterar datos en tránsito.
Además, el sistema OTA de Help Flash IoT, que debería permitir actualizaciones de firmware seguras, es otro punto flaco. Según el estudio, cualquier acceso físico breve podría activar este modo, permitiendo la instalación de software manipulado a través de redes WiFi no seguras.
El informe incluso sugiere escenarios reales donde estas vulnerabilidades podrían ser explotadas, desde comprometer dispositivos en talleres o durante revisiones, hasta utilizar estaciones base falsas para interceptar y manipular tráfico de las balizas. Este tipo de incidentes no solo pone en riesgo la seguridad individual de los conductores, sino que podría minar la confianza en el sistema de gestión de tráfico de la DGT.
A pesar de la seriedad de estos hallazgos, hasta ahora no ha habido un pronunciamiento oficial por parte de la DGT, el fabricante o Vodafone. Esta situación resalta la necesidad urgente de reevaluar los estándares de seguridad de los dispositivos IoT obligatorios, que deben ser robustos desde el diseño hasta su implementación final.
La divulgación de estas vulnerabilidades abre un debate sobre la ciberseguridad en dispositivos de seguridad vial, enfatizando que la protección no debe ser un añadido posterior, sino una parte integral de su desarrollo. Diversos expertos abogan por aumentar los requisitos de seguridad en la normativa, exigir auditorías técnicas independientes y mejorar los canales de gestión de vulnerabilidades para prevenir que estos dispositivos obligatorios por ley se conviertan en vectores de ataque.
Mientras tanto, los consumidores se encuentran en una posición incierta, con un producto que es técnicamente homologado, pero potencialmente inseguro. Pese a los riesgos, desactivar o manipular las balizas V16 no es aconsejable, ya que podría conllevar sanciones y comprometer la seguridad vial. Lo más prudente sería exigir claridad, correcciones y una revisión exhaustiva de los dispositivos vulnerables para garantizar que realmente cumplan con su promesa de proteger vidas en la carretera.
