A principios de mes, una noticia se viralizó en redes sociales y medios especializados en ciberseguridad. Un pequeño aparatito, llamado “Flipper Zero”, podía abrir las puertas de un auto Tesla. Aunque luego se aclaró que se trataba de un ataque de phishing, no importó. Fue un ladrillo más en una pared que se viene construyendo a base de este “Tamagotchi” para hackear computadoras y teléfonos, inflado por el algoritmo de TikTok, las historias de Instagram y el grito desesperado de atención de las redes sociales. Pero ¿qué puede hacer realmente este dispositivo y cuán peligroso es?
El Flipper Zero es un dispositivo multifunción de bolsillo que permite interactuar con sistemas de acceso y conexiones. A través de una pantalla monocromática con un simpático delfín, puede clonar tarjetas con NFC o RFID (como las de crédito o del cuarto de un hotel) abrir puertas de acceso al trabajo, interceptar una señal de WiFi, robar una contraseña ajena o inundar de notificaciones un teléfono simplemente para molestar (como pasó en la edición del año pasado de Ekoparty).
Considerado por muchos una suerte de “navaja suiza hacker”, el Flipper Zero levantó mucha polémica por videos en donde se demostraban actos potencialmente criminales, al punto de que Amazon lo removió de su catálogo y no permite comprarlo oficialmente. En Argentina, se puede comprar en Mercado Libre por precios que van desde los 500 mil pesos hasta el millón (con un dólar paralelo cercano de los mil pesos).
Usado por investigadores en seguridad en el ámbito de la seguridad física y el “pentesting” -esto es, testeo de sistemas para entender sus vulnerabilidades-, lo cierto es que el dispositivo es muy práctico para ciertas demostraciones pero bastante más limitado y caro, en comparación con otras opciones del mercado.
“Así como no se puede construir una casa con una navaja, no se puede realizar un trabajo profesional de pentesting con un Flipper Zero”, explicó a este medio “Teno”, hacker e investigador de seguridad informática, con 33 años en la industria IT.
Una vez más, las redes sociales hicieron lo suyo: exagerar, en este caso, con la estigmatización de un dispositivo por sus potenciales usos delictivos, en vez de tratar de entender que el problema no es el aparato sino lo vulnerables que son los sistemas que nos rodean.
Acá, qué es el Flipper Zero, qué puede hacer, qué no y por qué hubo tanta polémica en cuanto a sus usos y aplicaciones.
Flipper Zero: qué es
El Flipper Zero se desarrolló para la interacción de sistemas de control de acceso, redes y protocolos como NFC, WiFi, Bluetooth y más. “Puede leer, copiar y emular sistemas basados en radiofrecuencia, como puede ser el protocolo RFID, NFC, diferentes controles remotos, así como los que son basados en infrarrojo y hasta los del tipo USB”, explica Teno.
NFC (Near Field Communication) y RFID (Identificación por Radiofrecuencia) son dos protocolos de comunicación inalámbrica muy usados. Por ejemplo, el Telepase de las autopistas es por RFID. La SUBE, o las tarjetas de crédito contactless, funcionan mediante NFC.
Desde el punto de vista técnico, el Flipper está construido alrededor de un microcontrolador propietario, esto es, una suerte de pequeña computadora embebida en una plaqueta, desarrollada a partir de un “kickstarter” que arrancó en agosto de 2020 y levantó 4.8 millones de dólares por parte de la comunidad de hackers.
“Este microcontrolador está equipado con diferentes interfaces de RF (y otras) que pone en un ‘paquete cómodo’ una serie de herramientas de pentesting y PoC [prueba de concepto] y con un firmware de código abierto invita a toda la comunidad a desarrollar modificaciones, agregar módulos y demás”, agrega el especialista.
“Tiene también una serie de contactos que permiten exceder esas capacidades, al estilo de los microcontroladores Arduino o Raspberry Pi (llamados GPIO). Podemos decir que se comporta como una suerte de Tamagotchi, pero el objetivo no es el entretenimiento, sino bajar a la tierra cuestiones de seguridad y ponerlas al alcance de la mano”, siguió Teno, en su explicación.
La parte del Tamagotchi tiene que ver con que el delfín de la pantalla, en naranja monocromático y de 128×64 pixels, es el “operador” por el cual pasan todos los hackeos, que puede ser mejorando y ganando experiencia según las funciones que se vayan aplicando en las investigaciones.
El investigador, que se dedica a analizar y “romper” sistemas desde hace más de 30 años y publica sus investigaciones en su blog, pasó una semana con el Flipper para ver qué podía hacer con este dispositivo y también de qué manera lograr los mismos resultados con tecnologías ya disponibles (y más baratas).
Y el primer punto para destacar al hablar con fuentes del ambiente de la ciberseguridad es la exageración que se le dio al Flipper Zero, en tanto ya existían muchas tecnologías de este tipo.
“Así como no se puede construir una casa con una navaja, no se puede realizar un trabajo profesional de pentesting con un Flipper Zero. Por ejemplo, si comparamos una auditoría WiFi realizada con ESP32Marauder (uno de los tantos módulos WiFi para Flipper Zero) contra una WiFi Pineapple Enterprise, la calidad de los ataques, los niveles de certificación y la estabilidad de un producto fabricado para este fin específico no tienen comparación alguna. Es muchísimo mejor y más serio el Pinneaple”, desarrolla Teno.
Fotos: X.
Seguí leyendo sobre
