🔥
Samsung Galaxy S26 TikTok Anuncios en ChatGPT Apple Meta Black Friday en directo The Game Awards iPhone plegable China
Ciberseguridad

Tus datos no van a la DGT: descubren que el dominio al que se envía la información de las balizas V-16 pertenece a un misterioso usuario particular

La polémica con las balizas V-16 de la DGT continúa. Ahora, por un potencial problema de ciberseguridad

Tus datos no van a la DGT: descubren que el dominio al que se envía la información de las balizas V-16 pertenece a un misterioso usuario particular
Una baliza V16 de la DGT
Publicado en Tecnología
Por por Christian Collado Seguir en

Llevamos meses hablando de la "revolución conectada" de la DGT. Nos han vendido la idea de que la DGT 3.0 será ese gran cerebro digital que gestionará el tráfico del futuro, un ecosistema donde nuestros coches hablarán con la infraestructura para salvar vidas. Y la punta de lanza de este proyecto son las famosas balizas V-16 conectadas, esos dispositivos que jubilaremos a los triángulos de emergencia y que serán obligatorios a partir de 2026.

Tecnología

La teoría suena bien: se te avería el coche, pones la luz en el techo y, automáticamente, la DGT sabe dónde estás para avisar a otros conductores. Tecnología al servicio de la seguridad.

Pero, como suele ocurrir cuando rascamos la superficie de la administración electrónica en este país, la realidad técnica es mucho más inquietante. Una reciente investigación llevada a cabo por el portal BandaAncha ha destapado cómo funciona realmente este flujo de datos y lo que ha encontrado es, cuanto menos, alarmante: el dominio clave que gestiona la entrada de datos a la DGT 3.0 no pertenece a la DGT, ni al Ministerio del Interior, ni siquiera a la operadora encargada del proyecto. Pertenece a un particular.

La mentira de la "conexión directa"

Lo primero que hay que desmontar es el mito de que tu baliza llama a la DGT. Si sois de los que os gusta leer los white papers y el BOE, sabréis que la arquitectura técnica es un poco más compleja.

Las balizas no tienen línea directa con Tráfico. Cuando activas una V-16, esta envía los datos (coordenadas GPS, ID del dispositivo, nivel de batería) a la nube del fabricante de la baliza. Es lo que se llama Protocolo A. Es decir, tus datos de ubicación van primero a la empresa que te vendió la luz.

Hasta aquí, es un tema de arquitectura de red aceptable. El problema viene en el siguiente salto.

El fabricante, una vez tiene tus datos, debe reenviarlos a los servidores de la DGT para que aparezcan en los paneles de mensaje variable y en las apps de navegación. Esto se hace mediante el Protocolo B. Y aquí es donde la investigación técnica ha encontrado el agujero de conejo.

Para enviar esos datos, los fabricantes deben apuntar a una URL específica documentada en las APIs de la DGT. La dirección es, concretamente, un subdominio de cmobility30.es. Si trabajas en el sector tecnológico, asumirías que un dominio tan crítico para la seguridad nacional de tráfico estaría registrado por un organismo público o, como mínimo, por la UTE (Unión Temporal de Empresas) liderada por Vodafone que ganó el concurso para desarrollar la plataforma.

Pues no.

Al hacer un simple Whois (una consulta pública de registro de dominios) a cmobility30.es, la sorpresa es mayúscula. El titular no es la Dirección General de Tráfico. No es Red.es. No es Vodafone. Aparece el nombre de una persona física. Un usuario particular "misterioso" del que no sabemos nada, pero que tiene en su poder el dominio que actúa como puerta de entrada para la información de millones de vehículos en situaciones de emergencia.

¿Por qué esto es un desastre potencial?

Quizás penséis que soy un exagerado, pero dejadme explicaros por qué esto es una chapuza técnica de proporciones bíblicas desde el punto de vista de la ciberseguridad y la soberanía de datos:

  1. Fragilidad del servicio: si el dominio está a nombre de un particular, ¿qué pasa si esa persona olvida renovar la cuota anual del dominio? ¿Qué pasa si decide cambiar las DNS? Podría, teóricamente, tumbar la recepción de datos de emergencia de toda España con un par de clics.
  2. Seguridad y Confianza: estamos hablando de coordenadas de geolocalización de incidentes. Que el punto de entrada no esté bajo una custodia gubernamental estricta con certificados validados por la administración es un fallo de "primero de sistemas".
  3. Opacidad: la DGT ha publicado documentación oficial en GitHub invitando a desarrolladores a conectarse a este dominio. Validar un dominio privado como parte de una infraestructura pública crítica es algo que no había visto en años.

Conclusión: tecnología punta bajo una gestión de 1990

Esto es lo que ocurre cuando la transformación digital se hace con prisas o sin la supervisión técnica adecuada. Tenemos un hardware obligatorio (las V-16) que promete conectividad total, apoyado sobre unos cimientos digitales que parecen sujetos con cinta adhesiva.

Es vital que la DGT aclare quién es este titular y por qué un dominio crítico del estado está en manos privadas. Porque cuando compramos tecnología, compramos confianza. Y descubrir que tus datos de emergencia viajan a través del dominio de un desconocido no es, precisamente, la definición de confianza.

Para ti
Queremos saber tu opinión. ¡Comenta!