Se llama Flipper Zero y es el dispositivo de moda entre los aficionados al hacking. Este pequeño dispositivo es una especie de navaja suiza que lleva ya algún tiempo disponible pero que se ha convertido en viral gracias a los vídeos de quienes lo promocionan en TikTok. Muchos lo califican como el 'tamagotchi para hackers', y sus prestaciones son realmente llamativas... pero no milagrosas.
Recordando al tamagotchi. El diseño del dispositivo recuerda a los míticos tamagotchi, aquellas mascotas virtuales que triunfaron en los 90. En la pantalla monocroma LCD de 1,4 pulgadas (128x64 píxeles) se muestra la información del dispositivo, pero también es protagonista la mascota del proyecto, un delfín virtual creado con pixel art cuya apariencia cambia según las funciones que vamos usando. El Flipper Zero fue todo un éxito en Kickstarter, donde su campaña de 2020 recaudó 4,8 millones de dólares. Los dispositivos tardaron en llegar y sigue habiendo disponibilidad limitada, pero su precio (169 dólares) es desde luego atractivo para lo que ofrece.
Conexiones por doquier. El dispositivo es capaz de leer, copiar y emular etiquetas RFID y NFC, mandos a distancia o claves digitales a distancia gracias al soporte de señales infrarrojas. Es totalmente autónomo y no necesita ser conectado a un ordenador o un smartphone para utilizarlo. Consta de un pad digital y un botón independiente para volver atrás, y es también posible conectarlo con módulos externos a través de un puerto GPIO. Los datos de usuario y el firmware se almacenan en una tarjeta Micro SD.
Open Source. Una de las peculiaridades destacadas de este producto es que tanto los esquemas electrónicos como el firmware son Open Source. Sus circuitos integrados, eso sí, no están licenciados del mismo modo, lo que impide que uno pueda copiar las funciones del dispositivo a menos que tenga conocimientos de electrónica.
Qué hay dentro. Este pequeño dispositivo cuenta con un chip Texas Instruments CC1101, un transceptor universal que permite trabajar con aplicaciones inalámbricas de muy baja potencia. Gracias a él es posible conectar el Flipper Zero a dispositivos IoT y sistemas de acceso, y además cuenta con una antena de más alcance —hasta 100 metros— que trabaja en la banda de los 433 MHz y otra de 125 KHz de proximidad (RFID) para sistemas de acceso como tarjetas de entrada a un parking, hotel o portales de viviendas. Para gobernarlo todo contamos con un microcontrolador STM32WB55 dual-core con 1 MB de almacenamiento Flash integrado.
La nueva fiebre en TikTok. En los últimos meses han comenzado a aparecer diversos vídeos en los que se ve a usuarios hackeando los precios en los letreros de las gasolineras, abriendo garajes o sustituyendo a los distintos mandos a distancia de casa. Allí se muestran también vídeos en los que este dispositivo desbloquea un teléfono, abre un BMW, pagar por máquinas recreativas y muchas otras cosas, aunque a veces los mensajes sean algo exagerados.
Un potencial notable. Esa capacidad de recepción, emulación y emisión de distintos tipos de señales inalámbricas permite conectarlo potencialmente a todo tipo de productos e incluso clonarlos e interferir con sus comunicaciones. Entre ellos, llaves de coche, de garaje, sensores de movimiento, videotimbres, ventiladores, LEDs, interruptores, aspersores, termostatos, o dispositivos más llamativos como collares de perro.
Estupendo para hackers, pero también para makers. Hay proyectos de todo tipo que aprovechan el potencial de Flipper Zero para funciones de lo más curiosas. Hay luxómetros, metrónomos, afinadores de guitarra, analizadores de frecuencia, sónar, y, cómo no, un Doom para el Flipper Zero. La variedad de módulos GPIO que existen para este dispositivo es también sorprendente, y permiten añadir más y más prestaciones a este singular producto.
Nada de códigos evolutivos. Aún así, tiene limitaciones, y sus creadores por ejemplo han destacado que de forma intencionada el Flipper Zero no tiene soporte para guardar o emular códigos evolutivos (rolling codes como los que se usan para las llaves que abren los coches), algo que permite a los desarrolladores de productos con conectividad inalámbrica mejorar la seguridad de esos productos.
Pero también potencial para el mal. El soporte RFID hace posible que Flipper Zero pueda leer, guardar, emular e incluso romper la seguridad de sistemas como llaves de puertas de hoteles o apartamentos turísticos mediante fuerza bruta, algo que ciertamente es peligroso. Como en otros muchos casos, Flipper Zero es una herramienta, y de hecho puede servir para advertirnos a nosotros —y a las empresas que usan tecnologías como RFID— de que sus sistemas pueden ser vulnerables.
La posibilidad de conectarlo por ejemplo al puerto USB de un ordenador para luego controlarlo remotamente con un smartphone, otro ordenador —o incluso una Steam Deck— abre nuevos vectores de ataque para un cracker con malas intenciones. Las opciones son aquí notables, aunque de nuevo aquí lo que aporta el Flipper Zero es versatilidad: esos ataques ya eran posibles antes.
Tarjetas de crédito a salvo. El soporte NFC se puede usar también para leer datos de las tarjetas de crédito, aunque ciertos datos relativos a la dirección del propietario no se transmiten: lo de poder replicarlas y suplantarlas no es factible. Las limitaciones son también claras por ejemplo para tarjetas de transporte público, que mostrarán tan solo unos pocos detalles del identificador de usuario.
Alternativas. A pesar de que el producto es notable por su presentación y prestaciones, la mayoría de sus prestaciones se pueden replicar con otras plataformas como Arduino o Raspberry Pi si aprovechamos módulos que se conectan a estos dispositivos y proyectos en esa línea (aunque no idénticos) como P4wnp1 o Pico-ducky, por ejemplo. El chip CC1101 que mencionábamos anteriormente, por ejemplo, se puede comprar en tiendas como Amazon y luego conectarlo a una de esas placas para plantear esas alternativas. Hay además otras alternativas como el HackRF One, aunque son también caras (340 dólares). Este último, por ejemplo, da soporte a los códigos evolutivos y ha sido protagonista en conferencias de ciberseguridad como DEF CON 23.
¿Es legal? Sí. El Flipper Zero es un producto totalmente legal y también es legal usarlo mientras los fines con los que se haga no violen la ley. En España el hackeo y robo de información están considerados como delitos en el artículo 197.1 del Código Penal. Este tipo de usos maliciosos son desde luego factibles con herramientas como esta, pero lo son también con muchas otras alternativas. De hecho, el Flipper Zero puede ser usado precisamente para evaluar la seguridad de nuestros sistemas y convertirse así en una útil herramienta para mejorarla.
Problemas y retenciones en aduanas. Los responsables de Flipper Zero se han enfrentado a dificultades importantes: PayPal bloqueó la cuenta empresarial y congeló 1,3 millones de dólares durante dos meses sin explicar por qué, y la aduana de los Estados Unidos retuvo un contenedor con 15.000 Flipper Zero que se dirigía a quienes lo habían encargardo en ese país. De nuevo, no hubo explicación oficial. Brasil ha decomisado recientemente las compras de estos dispositivos por su potencial uso en actividades criminales.
Imagen: Flipper Zero
En Xataka | INCIBE lanza un curso gratis de ciberseguridad: cuál es su temario y cómo puedes apuntarte
Ver 19 comentarios