domingo, marzo 15, 2026

Diario Hacking

Blog para aprender Ciberseguridad

Balizas V-16: ¿Seguridad vial a costa de nuestra seguridad personal?

Posted on by 3stefani

Balizas V-16: ¿Seguridad vial a costa de nuestra seguridad personal?

Desde el 1 de enero de 2026, todos los vehículos en España están obligados a llevar una baliza V-16 conectada, un dispositivo que sustituye a los tradicionales triángulos de emergencia. Estas balizas están diseñadas para alertar a otros conductores y servicios de emergencia en caso de avería o accidente, transmitiendo automáticamente la ubicación del vehículo a la plataforma DGT 3.0.

Aunque la medida tiene una clara intención de mejorar la seguridad vial, surgen serias dudas sobre los riesgos asociados a la exposición pública de los datos de ubicación en tiempo real.

Cómo funcionan las balizas V-16

Las balizas V-16 transmiten datos mediante dos protocolos principales:

  1. Protocolo A (envío a la nube del fabricante)
    Al activarse, la baliza envía información cada ~100 segundos al servidor del fabricante. Los datos incluyen:
    • Identificador único de la baliza
    • IMEI del módem
    • Coordenadas GPS (latitud y longitud)
    • Nivel de batería
    • Marca temporal (timestamp)
  2. Protocolo B (reenvío a la DGT)
    El fabricante reenvía estos datos a la DGT 3.0 a través de su servidor, en una versión reducida y supuestamente “anonimizada”. La DGT gestiona esta información para servicios de emergencia y otras funciones oficiales.

Datos públicos de la DGT: un riesgo inadvertido

La DGT ofrece acceso público a ciertos datos de las balizas mediante una API REST. Esto permite a cualquier persona con conocimientos básicos de programación:

  • Consultar balizas activas en tiempo casi real
  • Visualizar rutas y patrones de movimiento de vehículos con balizas activadas
  • Integrar los datos en mapas interactivos o aplicaciones

Como ejemplo ilustrativo, recientemente el desarrollador Héctor Julián Alijas creó la web mapabalizasv16.es, que muestra en tiempo casi real las balizas V-16 activas en las carreteras españolas. Antes de continuar, quiero dejar claro que este desarrollador no ha actuado de manera ilegal y merece reconocimiento: su trabajo es técnico es impecable, educativo y aporta valor al evidenciar un problema de seguridad que, de otro modo, habría pasado desapercibido para la mayoría de ciudadanos.

El creador del mapa no ha vulnerado ningún sistema ni ha actuado de forma ilegal. Simplemente ha utilizado datos JSON que la propia DGT ha puesto a disposición pública.  El proyecto demuestra lo siguiente: si un desarrollador puede construir una herramienta así en su tiempo libre, utilizando únicamente datos públicos, cualquier actor malintencionado también podría acceder a esta información y emplearla para fines delictivos. La existencia de la API pública, más que la web en sí, es lo que representa el verdadero riesgo.

El problema de fondo: datos sensibles de acceso público

La DGT argumenta que estos datos son necesarios para que los servicios de emergencia localicen incidencias y para mejorar la seguridad vial. Sin embargo, surge una pregunta fundamental: ¿por qué estos datos deben ser de acceso público? Si el objetivo es que lleguen a los servicios de emergencia, ambulancias, policía y bomberos, la solución lógica sería compartir esta información exclusivamente con estos organismos mediante canales seguros y cifrados, no exponerla en un JSON de libre acceso para cualquier persona con conocimientos básicos de programación.

Además, el mapa desarrollado incluye funcionalidades que aumentan el riesgo potencial. Los usuarios pueden:

  • Seleccionar una baliza específica y compartir su ubicación
  • Abrir la ubicación en Google Maps, que muestra el camino desde tu posición hasta la baliza
  • Seguir el recorrido de un vehículo mediante las «miguitas de pan» que va dejando según actualiza su posición

Estas funcionalidades, aunque técnicamente impresionantes, demuestran lo expuesta que está la información de localización en tiempo real de personas potencialmente vulnerables (averiadas, accidentadas, en situación de emergencia).

Contexto: brechas de seguridad en España

Aunque los datos públicos sobre la posición de las balizas V‑16 y su estado de activación ya representan un riesgo, existe otro nivel de preocupación: los datos privados y no públicos también son vulnerables, y su exposición podría tener consecuencias mucho más graves.

Para entender por qué esto es tan preocupante, es fundamental revisar el historial de brechas de seguridad que ha sufrido España en los últimos años. No estamos hablando de riesgos teóricos, sino de incidentes documentados que han expuesto millones de datos personales:

  • Hackeos a la DGT:
    • En mayo de 2024, la Dirección General de Tráfico sufrió uno de los ciberataques más graves de su historia. Los ciberdelincuentes robaron y pusieron a la venta datos de más de 34 millones de conductores, incluyendo matrículas, nombres completos, domicilios, DNI y detalles de los seguros vigentes. Este hackeo provocó que desaparecieran vehículos del historial de usuarios en la app MiDGT, y los datos robados se ofrecieron en foros de la dark web con un valor estimado de varios millones de euros.
    • En marzo de 2024, Tráfico ya había sufrido otra filtración masiva de 40 millones de matrículas de vehículos.
  • Filtraciones de empresas privadas, como Banco Santander, Iberdrola, Telefónica o FIATC Seguros.
  • Errores humanos, como el caso en el que, durante una emisión en directo de los informativos de Telecinco, se pudieron ver en pantalla credenciales (usuario y contraseña) de acceso de la propia DGT apuntadas en un monitor. Este incidente evidencia prácticas deficientes en la gestión de información sensible.

Estos antecedentes demuestran que ningún sistema es invulnerable, incluso cuando los datos se consideran “anonimizados” o supuestamente seguros. Por eso, la combinación de datos públicos de geolocalización y posibles brechas en datos privados aumenta significativamente los riesgos para la seguridad de los ciudadanos.

Riesgos concretos para la seguridad personal

Con este contexto de vulnerabilidad demostrada, el sistema de balizas V-16 con datos de acceso público presenta riesgos muy reales:

  1. Preparación de delitos: Un delincuente puede identificar zonas estratégicas donde es fácil acorralar un vehículo y prepararse con antelación sabiendo exactamente cuándo pasará un coche averiado o detenido por esa ubicación.
  2. Secuestros y robos planificados: Aunque en España estos delitos son menos frecuentes que en algunos países de Hispanoamérica, no son inexistentes. El acceso a datos de localización en tiempo real facilita enormemente la planificación de estos crímenes.
  3. Vulnerabilidad de las personas en emergencia: Una persona que ha activado la baliza está, por definición, en una situación de vulnerabilidad: puede estar herida, atrapada, o simplemente inmovilizada en una carretera.
  4. Acceso a información mediante brechas: Aunque la DGT y la AEPD aseguran que los datos son «anónimos», el historial de España demuestra que cualquier sistema puede ser vulnerado. Una brecha en los sistemas de la DGT podría vincular el identificador «anónimo» de la baliza con la matrícula, el propietario y todos sus datos personales.
  5. Cruce de datos: Los atacantes pueden cruzar los datos de balizas con información de otros ciberataques recientes, además de buscar fotos en redes sociales o Google para crear perfiles completos de sus objetivos.

La responsabilidad del Estado y la evaluación de impacto

Según el Reglamento General de Protección de Datos (RGPD), la Dirección General de Tráfico tiene la obligación legal de realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de implementar sistemas que impliquen el tratamiento masivo, sistemático y automatizado de datos de geolocalización, tal y como establece el artículo 35 del RGPD.

Diversas reclamaciones y análisis ciudadanos señalan que el sistema de balizas V-16 implica la transmisión automática y continuada de datos de localización, sin consentimiento explícito del conductor, lo que plantea dudas sobre su base jurídica, su proporcionalidad y la suficiencia de la evaluación de impacto realizada. Estas prácticas podrían entrar en conflicto con:

  • El artículo 18.4 de la Constitución Española, que limita el uso de la informática para garantizar la intimidad personal
  • El artículo 53.1 de la Constitución Española, que exige que cualquier restricción de derechos fundamentales se realice mediante ley y respetando su contenido esencial
  • Los artículos 5 y 6 del RGPD, que establecen los principios de licitud, minimización y finalidad del tratamiento
  • El artículo 24 del RGPD, que obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas adecuadas
  • El artículo 35 del RGPD, relativo a la obligatoriedad de la EIPD

Asimismo, las reclamaciones destacan posibles vulneraciones de los artículos 12 y 13 del RGPD, que obligan a informar de forma clara y accesible a los ciudadanos sobre:

  • Quién es el responsable del tratamiento
  • Las finalidades concretas del uso de los datos
  • Los plazos de conservación
  • Los derechos que les asisten

Cabe destacar que ningún otro país de la Unión Europea ha establecido una obligación generalizada de transmisión automática de datos de geolocalización de los vehículos a la autoridad pública en situaciones ordinarias.

La Agencia Española de Protección de Datos (AEPD) ha defendido el sistema argumentando que los datos transmitidos son “anónimos” y que la baliza solo emite información cuando está activada. Sin embargo, este argumento no responde a la cuestión central del debate:
¿por qué datos de localización en tiempo real deben ser accesibles públicamente, en lugar de limitarse exclusivamente a los servicios de emergencia mediante canales cifrados y seguros?

Alternativas más seguras: lo que ya teníamos

Muchos ciudadanos se preguntan por qué no se mantuvieron los triángulos de emergencia tradicionales. La DGT argumenta que estos son peligrosos porque obligan al conductor a salir del vehículo y caminar por la calzada. Sin embargo, esta justificación no aborda alternativas más equilibradas:

  1. Balizas V-16 sin conectividad: Dispositivos que solo emiten luz visible, sin transmisión de datos
  2. Transmisión exclusiva a servicios de emergencia: Sistema donde los datos solo son accesibles mediante canales cifrados y seguros para ambulancias, bomberos y policía
  3. Activación opcional de la geolocalización: Permitir que sea el conductor quien decida si quiere transmitir su ubicación
  4. Sistema de alerta sin localización exacta: Notificar de una incidencia en un área general sin revelar coordenadas GPS precisas

Reflexión final

El caso de las balizas V-16 representa un dilema moderno entre seguridad vial y seguridad personal, entre avance tecnológico y protección de la privacidad. La buena intención de reducir atropellos en carretera no puede justificar la exposición masiva de datos de localización en tiempo real, especialmente en un país con un historial tan problemático de brechas de seguridad.

El desarrollador que creó el mapa de balizas nos ha hecho un favor invaluable: ha evidenciado un problema que afecta a millones de conductores. Ahora corresponde a las autoridades actuar con responsabilidad, revisar este sistema y garantizar que la protección de la seguridad vial no se convierta en una amenaza para nuestra seguridad personal.

Y tú, ¿qué piensas? ¿Los beneficios en seguridad vial justifican los riesgos potenciales para la seguridad personal? ¿Conoces alternativas más seguras que podrían implementarse sin exponer datos de geolocalización en tiempo real?

La conversación está abierta. Este es un tema que nos afecta a todos como conductores y como ciudadanos preocupados por nuestra privacidad y seguridad.

Referencias normativas

Informes y comunicados oficiales sobre privacidad / protección de datos