“Igual que un robot aspirador puede revelar cuándo una casa está vacía, la baliza V16 podría dar datos sensibles sobre desplazamientos”

Después de la implementación de la baliza V16 obligatoria, los Mossos d'Esquadra ya han puesto las primeras multas, tanto por no llevar el dispositivo en el coche como por no señalizar correctamente una incidencia. Y más allá de las sanciones de la policía, tampoco han tardado en aparecer los primeros timos.

Algunos estafadores aprovechan la información pública de las balizas para enviar grúas no oficiales a rescatar vehículos, y cobren entre 170 y 300 euros. Una vez se presentan allí, se aprovechan del desamparo de los conductores que en situaciones así están dispuestos a pagar cualquier cosa y acaban cayendo en el engaño de las grúas piratas.

“Los delincuentes se presentan en el lugar de la avería haciéndose pasar por servicios de asistencia y aprovechan la vulnerabilidad del conductor para cobrar servicios inexistentes o incluso sustraer el vehículo”, avisa  Hervé Lambert, experto en seguridad informática de los consumidores de Panda Security.

La empresa de ciberseguridad subraya que, aunque la baliza V16 se ha ideado para mejorar la seguridad vial y reducir atropellos en la carretera, incorpora una conectividad que permite transmitir la ubicación del vehículo en tiempo real. Y aunque el sistema se ha diseñado con medidas para anonimizar los datos, varias voces han alertado de los riesgos potenciales para la privacidad que supone la recopilación masiva de datos de localización.

“El problema no radica tanto en el uso puntual de esta información como en la posibilidad de que, a través de un acceso indebido, una brecha de seguridad o un uso poco transparente, se puedan conocer patrones de movilidad, rutinas diarias o situaciones de vulnerabilidad”, dice el directivo de Panda Security.

La empresa de ciberseguridad sostiene que “De la misma manera que un robot aspirador puede revelar cuándo una casa está vacía, una baliza conectada podría aportar información sensible sobre desplazamientos, horarios y localizaciones frecuentes”. “El internet de las cosas conecta el mundo digital con el mundo físico y personal”, constata Lambert, que avisa: “Si los dispositivos no están correctamente configurados y protegidos, pueden convertirse en herramientas para monitorizar nuestra actividad y descifrar patrones de comportamiento.”

El experto de Panda Security insiste en que “un fallo en cualquiera de estos dispositivos no solo expone datos, sino que revela hábitos, rutinas y espacios privados”, y por eso remarca que reforzar la ciberseguridad doméstica es una necesidad real y urgente.

En este sentido, Lambert asegura que ”la mayoría de los incidentes asociados al internet de las cosas no se producen por ataques altamente sofisticados, sino por fallos básicos de configuración y mantenimiento que podrían haberse evitado con unas mínimas pautas de seguridad”.

Una medida básica, por ejemplo, es segmentar la red doméstica, separando los equipos personales y profesionales del resto de dispositivos que se conectan a internet. “También  es fundamental cambiar las contraseñas por defecto, con contraseñas robustas y únicas para cada dispositivo ”. Actualizar el software y revisar los permisos concedidos a las aplicaciones móviles también es muy recomendable.

En el caso concreto de la baliza V16, “Es importante que los sistemas de transmisión y tratamiento de la información incorporen garantías técnicas, legales y organizativas al nivel más alto, con una atención especial a la protección de los datos de localización”, dice el directivo de Panda Security. 

En las situaciones más graves, como podría ser el robo de un vehículo después de una filtración de datos de localización, el afectado dispone de herramientas para defender sus derechos. Primero tendría que poner una denuncia, aportando cualquier indicio que permita vincular el delito con un uso indebido de datos personales. Después, presentar una reclamación en la Agencia Española de Protección de Datos si considera que ha habido “un tratamiento inadecuado, negligente o poco transparente de su información”, dice Lambert.

Lee también

Selva Orejón, experta en ciberseguridad, evalúa el sistema V-16 y la privacidad de la información: “Prefiero pagar una multa por no activarla antes que ponerme una diana en la frente”

Martí Figueras

Ignacio Fernández, cardiólogo, sobre la baliza V-16: “Advertimos a los pacientes con marcapasos que no se pongan el móvil y otros dispositivos sobre el corazón”

Martí Figueras

Si se demuestra una vulneración de estas obligaciones, el afectado incluso podría reclamar una indemnización por los daños y perjuicios sufridos, tanto económicos como morales.

En el caso de la baliza V16, la Dirección General de Tráfico (DGT) actúa como el principal responsable del tratamiento de los datos de localización, y decide cómo y para qué finalidad se recopila, gestiona y distribuye la información a través de la plataforma DGT 3.0. Los fabricantes de los dispositivos, los operadores de telecomunicaciones y los proveedores tecnológicos también están obligados a aplicar medidas estrictas de seguridad. 

Según Panda Security, aunque la DGT y la Agencia de Protección de Datos sostienen que no se transmiten datos identificativos directos del conductor, el uso de información de localización en tiempo real plantea riesgos para la privacidad, porque permite inferir patrones de movilidad y situaciones de vulnerabilidad.

Este artículo fue publicado originalmente en RAC1.