Es ya bien sabido que la baliza V16 llegará para quedarse a partir de este 1 de enero. Este dispositivo luminoso tiene como fin señalizar el coche tras una avería y está pensado como un sustituto a los típicos triángulos reflectantes. En lugar de salir del vehículo a colocar estos triángulos, simplemente se coloca la baliza en el techo del coche, la cual empieza a emitir la ubicación del vehículo a DGT 3.0 Esto es una base de datos que lleva registro de anomalías en el tráfico y que las comparte con las diferentes aplicaciones y servicios de movilidad. Esta función de las balizas para compartir su ubicación ha causado polémica. Pese a que sus creadores aseguran que esto sólo ocurre mientras está encendida y que no transmite información sensible, recientemente un experto en ciberseguridad ha descubierto varias vulnerabilidades. Además de iluminar vehículos inmovilizados, la baliza cuenta con un chip GPS y una tarjeta SIM que, una vez encendida, comienza a transmitir su ubicación a DGT 3.0. Esta información se emite cada minuto y cuarenta segundos durante los 30 minutos aproximados que dura la baliza encendida. A pesar de que no transmiten información sensible como la matrícula del coche o el DNI de su dueño, el experto Luis Miranda Acerbo ha publicado un profundo análisis sobre uno de estos modelos de baliza V16, el cual tienen ya 250.000 usuarios. Uno de sus principales fallos es el envío de datos en texto plano, es decir, sin cifrar. Esto quiere decir que pueden ser leídos sin problemas por cualquiera que intercepte la señal. Además, tampoco hay mecanismos de verificación entre servidor y la baliza, por lo que se podrían enviar datos falsos o manipulados a DGT 3.0, como alertas falsas. Si no fuese esto suficiente, el sistema de actualización OTA (Over The Air) no es seguro ya que la red Wi-Fi de mantenimiento de la baliza tiene el mismo usuario y contraseña (permitiendo el acceso de cualquiera) y la descarga de archivos utiliza el protocolo HTTP (no HTTPS) y sin verificar su procedencia. Esto hace muy sencillo instalar software malicioso que controle la baliza. Miranda hizo una demostración práctica en la que hackeó la baliza en únicamente 60 segundos, siendo capaz después de controlarla para que pudiese emitir ubicaciones falsas, hacer que deje de funcionar o acceder al APN privado del operador. El modelo analizado por Miranda es el Help Flash IoT, de Netun Solutions. El fabricante ha emitido un comunicado de prensa en el que han hablado sobre estas vulnerabilidades en torno a su dispositivo. Han insistido en que la información compartida por la baliza no incluye datos sensibles como matrícula o DNIs. Sobre el envío de datos en texto plano, argumentan que es una decisión tomada para garantizar la "interoperabilidad y robustez a largo plazo". Sobre la posibilidad de que un hacker cree alertas falsas masivas con las balizas, Netun comenta que para ello sería necesario comprometer a un gran número de dispositivos, y que la plataforma limita el número de tramas que puede enviar cada SIM. En definitiva, si bien es verdad que el riesgo de un envío masivo de información falsa usando estas balizas es bajo (y que existen cortafuegos para evitar ataques), es cierto también que los sistemas de seguridad del mismo dispositivo son poco robustos.