"Todos los datos de las balizas V-16 van a un dominio registrado a nombre de un particular. Y eso es un caramelo para un hacker. Puede colapsar el sistema"

El nuevo sistema de balizas V-16 conectadas de la Dirección General de Tráfico (DGT) presenta graves fallos de seguridad, según ha desvelado Javier Castilla, responsable de inteligencia artificial de la cadena COPE. Durante su intervención en el programa “Lo que viene” con José Ángel Cuadrado, el experto ha explicado que la información de los dispositivos es pública y accesible para cualquier persona con mínimos conocimientos de programación.

Un mapa no oficial en tiempo real

Castilla ha señalado que esta accesibilidad ha permitido que un ingeniero cree un mapa que muestra la ubicación de las balizas activas en tiempo real. "No te hace falta una contraseña, no te hace falta que la DGT te autorice, en absoluto", ha afirmado el experto, subrayando la facilidad con la que se puede acceder a los datos.

TE INTERESA

La DGT actualiza la lista de balizas v16 homologadas y retira estos modelos: todavía están a la venta

La plataforma, de creación externa a la DGT, se conecta directamente al servicio de la Dirección General de Tráfico, descarga las coordenadas de los dispositivos encendidos y las representa visualmente en un mapa. Un proceso que, según Castilla, "no tiene mucha complicación" a nivel técnico.

El gran riesgo: un dominio particular

El punto más alarmante, según el responsable de IA de COPE, es que los datos no viajan directamente a la DGT. En su lugar, se envían primero a un dominio web registrado a nombre de un particular. "Los datos van a un dominio que está registrado, no a nombre del estado ni de ninguna administración pública, ni siquiera de la DGT, sino a nombre de una persona con nombres y apellidos", ha sentenciado Castilla.

Los datos van a un dominio que está registrado, no a nombre del estado ni de ninguna administración pública"

Javier Castilla

Experto en tecnología

Hasta la fecha, ninguna administración pública ni la propia DGT han aclarado la identidad de esta persona o su relación con la Unión Temporal de Empresas (UTE) que ha desarrollado el sistema. Este hecho genera una gran incertidumbre sobre quién custodia la información y qué salvaguardas existen.

Vulnerable a ciberataques

Esta arquitectura convierte al sistema en un objetivo para ciberdelincuentes. Un ataque de denegación de servicio (DDoS), que consiste en saturar un servidor con miles de peticiones falsas, podría tumbar el dominio privado. "Si un hacker consigue mandar miles de señales falsas de balizas a este dominio y colapsa, de repente la DGT deja de recibir los datos, el servicio se quedaría completamente suspendido", advierte el experto.

Si un hacker consigue mandar miles de señales falsas y colapsa, el servicio se quedaría completamente suspendido"

José Ángel Cuadrado

Presentador de Lo que viene

Castilla ha explicado que las claves de acceso a este dominio tampoco están bajo la custodia de una entidad pública, lo que significa que si un atacante las obtuviera, podría modificar la configuración y dejar el sistema inoperativo.

Finalmente, el experto ha criticado que un proyecto de tal envergadura, con una inversión estimada de entre 500 y 600 millones de euros, dependa de un único servidor sin redundancia. La solución, según Castilla, pasaría por que el dominio fuera de titularidad pública y por contar con servidores de respaldo que garanticen la continuidad del servicio en caso de fallo.