Ponen a la venta en la dark web un supuesto acceso a paneles de la DGT en Barcelona
Una publicación difundida por la cuenta BandaAncha en X ha encendido las alarmas al hacerse eco de un mensaje de Dark Web Intelligence / Daily Dark Web en el que se advierte de la supuesta venta de acceso a infraestructura IoT asociada a la Dirección General de Tráfico en España.
Según la captura compartida, un actor de amenazas estaría anunciando en un foro de ciberdelincuencia un presunto acceso a paneles informativos de tráfico relacionados con la DGT, con localización principal en Barcelona. El anuncio menciona 38 dispositivos y afirma que el acceso permitiría modificar mensajes en los paneles y subir imágenes, aunque todos esos extremos deben tratarse con cautela hasta que exista confirmación oficial o una verificación técnica independiente.
La propia captura incluye la palabra “alleged”, es decir, supuesto o presunto. Y ese matiz es esencial. En los foros criminales no todo lo que se anuncia es cierto. A veces se venden accesos reales, otras veces accesos antiguos, incompletos, exagerados o directamente falsos. Por eso, en este tipo de casos, lo responsable es separar la alerta del hecho probado.
🇪🇸 Alleged Sale of Access to Spain's DGT IoT Infrastructure Advertised on Cybercrime Forum
— Dark Web Intelligence (@DailyDarkWeb) July 8, 2026
A threat actor is advertising alleged access to IoT information panels associated with Spain's Dirección General de Tráfico (DGT), claiming the primary affected location is Barcelona.
*… pic.twitter.com/I434ALEDJK
Qué son estos paneles y por qué importan tanto
Los paneles de mensaje variable son una parte clave de la gestión moderna del tráfico. Sirven para informar a los conductores sobre incidencias, retenciones, obras, meteorología, desvíos, límites variables o avisos de seguridad. No son simples pantallas decorativas en la carretera: forman parte de los sistemas que ayudan a ordenar la circulación y prevenir accidentes.
La propia DGT explicó en 2025 que, entre los sistemas inteligentes de transporte disponibles entre su equipo y el de otras administraciones, había 2.863 paneles de mensajes variables, además de 2.628 cámaras de televisión, 2.147 estaciones de toma de datos y 1.003 sistemas de reconocimiento de matrículas. Es decir, hablamos de una red tecnológica enorme, conectada y crítica para la movilidad diaria.
En 2020, la revista de la DGT ya describía estos paneles como uno de los canales para informar al conductor sobre las incidencias del tráfico y señalaba que su control corresponde a los Centros de Gestión del Tráfico.
Por eso un supuesto acceso no autorizado a este tipo de infraestructura no sería un asunto menor. La gravedad no estaría solo en “hackear una pantalla”, sino en la posibilidad de alterar mensajes que miles de conductores pueden ver en tiempo real.
La captura apunta a Barcelona y a 38 dispositivos
La imagen difundida en redes muestra un anuncio con el encabezado “Fixalia-DGT-Barcelona” y una descripción en inglés en la que el supuesto vendedor asegura ofrecer acceso a varios paneles informativos IoT de la DGT. También afirma que la localización principal estaría en Barcelona y que habría 38 dispositivos afectados.
Además, la captura menciona servicios alojados en la misma dirección IP, entre ellos cámaras de tráfico, routers y otros sistemas. Este punto, si fuera real, sería especialmente sensible, porque sugeriría una exposición más amplia que la de un simple panel aislado.
Ahora bien, conviene insistir: por ahora hablamos de una captura de un supuesto anuncio. No prueba por sí sola que el acceso sea real, que los sistemas sigan expuestos, que el vendedor tenga control efectivo o que la DGT haya sufrido una intrusión activa.
Daily Dark Web, el sitio vinculado a la cuenta que difundió el aviso original, se presenta como una plataforma independiente de información sobre ciberseguridad y advierte en su propio descargo de responsabilidad de que las afirmaciones de terceros pueden incluir información no verificada y deben interpretarse críticamente.
El nombre de Fixalia aparece en la captura
La captura también muestra el logotipo de Fixalia, una empresa vinculada a soluciones de señalización electrónica y paneles de mensaje variable. En su web, Fixalia se presenta como especialista en paneles y señales luminosas para tráfico, transporte y movilidad, y menciona soluciones compatibles con protocolos como DGT, DGT+, NTCIP y Modbus.
Esto no significa, por sí solo, que Fixalia haya sufrido una brecha ni que sea responsable de la supuesta exposición. La aparición de un logotipo en una captura de un foro criminal no acredita la autenticidad del acceso ni la cadena técnica del incidente. En ciberseguridad, las atribuciones precipitadas pueden ser tan peligrosas como el propio ataque.
Lo importante, en este punto, sería verificar si los dispositivos señalados existen, si pertenecen realmente a una infraestructura gestionada por la DGT o por alguna administración, si están conectados a Internet de forma expuesta y si existe algún acceso no autorizado activo.
El riesgo real: mensajes falsos en carretera
Si el supuesto acceso fuera auténtico, el riesgo más evidente sería la manipulación de mensajes en los paneles. Un atacante podría, en teoría, publicar mensajes falsos, confusos o maliciosos. Y aunque pudiera parecer una gamberrada digital, en carretera cualquier información errónea puede tener consecuencias.
Un aviso falso de carril cerrado, una indicación incorrecta de desvío, un mensaje alarmista o una instrucción contradictoria pueden generar frenazos, cambios bruscos de carril o pérdida de confianza en la señalización.
La ciberseguridad de la movilidad no se limita a proteger bases de datos. También consiste en garantizar que los sistemas que hablan con los conductores no puedan ser manipulados.
La DGT ya estuvo en el foco por una presunta brecha
No es la primera vez que la DGT aparece vinculada a alertas de ciberseguridad. En mayo de 2024, Reuters informó de que la Guardia Civil investigaba una posible brecha después de que la DGT detectara actividad sospechosa en su base de datos. Según aquella información, un usuario anónimo afirmó en un foro criminal tener acceso a información de más de 27 millones de conductores. La DGT bloqueó a los usuarios sospechosos y alertó al Grupo de Investigación y Análisis de Tráfico de la Guardia Civil.
Aquel caso afectaba presuntamente a datos de conductores y vehículos. Este nuevo aviso, en cambio, apuntaría a infraestructura conectada de tráfico. Son planos distintos, pero ambos evidencian un mismo problema: las administraciones públicas gestionan sistemas cada vez más digitalizados y, por tanto, cada vez más expuestos a amenazas.
La dark web como escaparate de accesos
Los foros criminales funcionan desde hace años como mercados donde se ofertan bases de datos, credenciales, accesos a paneles de administración, servidores comprometidos o servicios de intrusión. No todo lo que aparece allí es real, pero tampoco puede descartarse de entrada.
Trend Micro, en un informe sobre el ecosistema criminal hispanohablante, describe cómo los foros de ciberdelincuencia se utilizan para vender accesos, malware, datos robados y otros servicios ilícitos, incluyendo espacios en inglés y ruso donde también participan actores vinculados a comunidades de habla española.
Por eso, cuando aparece una oferta relacionada con infraestructura pública, la reacción adecuada no es ni el alarmismo sin pruebas ni la indiferencia. Es la verificación rápida, la contención técnica y, si procede, la investigación policial.
Qué debería comprobarse ahora
Ante una alerta de este tipo, las autoridades y los responsables técnicos deberían verificar varios puntos de forma inmediata: si los sistemas citados están realmente conectados a Internet, si existen accesos administrativos expuestos, si hay credenciales comprometidas, si se han producido cambios no autorizados en los paneles y si hay registros de actividad anómala.
También sería razonable revisar la segmentación de red. Los paneles de tráfico, cámaras, routers y sistemas auxiliares no deberían depender de una arquitectura donde una única exposición permita acceder a múltiples servicios sensibles.
La seguridad en sistemas industriales e IoT no se basa solo en poner contraseñas. Se basa en aislar, monitorizar, actualizar, limitar permisos y asumir que cualquier dispositivo conectado puede convertirse en una puerta de entrada.
Prudencia, pero no indiferencia
El caso debe tratarse con prudencia porque, de momento, la información procede de una publicación en redes y de una captura atribuida a un foro de ciberdelincuencia. No hay que dar por probado que la DGT haya sido comprometida ni que los paneles puedan manipularse en este momento.
Pero tampoco conviene restarle importancia. Si algo ha demostrado la última década es que muchos incidentes graves comenzaron con avisos que parecían menores: una captura, un acceso puesto a la venta, unas credenciales filtradas o un servidor olvidado.
La movilidad conectada ofrece enormes ventajas. Permite informar en tiempo real, gestionar incidencias, avisar de peligros y ordenar mejor el tráfico. Pero esa misma conectividad obliga a blindar sistemas que antes estaban aislados.
Porque un panel de carretera ya no es solo una señal luminosa. Es un dispositivo conectado. Y cualquier dispositivo conectado, si no está bien protegido, puede convertirse en una vulnerabilidad visible desde el otro lado del mundo.
El mensaje de fondo
La alerta sobre el supuesto acceso a 38 paneles de la DGT en Barcelona todavía necesita verificación. Puede ser real, exagerada o falsa. Pero el debate que abre sí es real: España necesita tratar la ciberseguridad de sus infraestructuras de tráfico como una prioridad de seguridad vial.
No basta con que los paneles funcionen. También tienen que ser confiables.
Porque cuando un conductor lee un mensaje en una carretera, no se pregunta quién lo ha escrito, desde dónde se ha enviado o qué sistema lo controla. Simplemente lo cree.
Y precisamente por eso, proteger esos mensajes es proteger la carretera.