A simple vista, el Flipper Zero parece un juguete inofensivo. Da la impresión de ser la fusión entre un reproductor de mp3 de principios del 2000 y un Tamagotchi, la famosa mascota virtual de los años 90. Incluso su pequeña pantalla de LCD muestra a un simpático delfín antropomorfo que expresa sus emociones y cambia de apariencia según las funciones que utilice el usuario. Y al igual que con un Tamagotchi, a medida que su propietario explora y experimenta con tecnologías de comunicación inalámbrica, sistemas de seguridad y dispositivos electrónicos, su mascota avanzará de nivel, desarrollando nuevos intereses y pasatiempos, y manifestando su felicidad o enojo mediante animaciones en su interfaz.
Pero debajo de su inocente carcasa plástica, se esconde una poderosa herramienta diseñada para profesionales y entusiastas de la ciberseguridad. Se comercializa como “una multiherramienta portátil para geeks”, una suerte de navaja suiza electrónica que, combinando diferentes funcionalidades, se vuelve un instrumento óptimo para evaluar la seguridad de sistemas y dispositivos electrónicos. Sin embargo, en las manos equivocadas, se puede transformar en un arma peligrosa, capaz de amenazar la integridad de redes, infraestructura tecnológica, y hasta viviendas y autos.
“El Flipper Zero básicamente es una mini computadora con capacidades de transmisor y receptor. Esto quiere decir que puede recibir señales de diferentes bandas y tecnologías, y también las puede emitir”, cuenta a Rosario3 David Perez, consultor de ciberseguridad. “Puede escuchar frecuencias de gran variedad de equipos, como puertas de garaje, sensores IOT (Internet de las Cosas), llaves de coches… El Flipper Zero puede escuchar esas frecuencias, capturarlas, grabarlas y luego reproducir estas señales”. Esto significa que puede emular estos artefactos y, eventualmente, abrir portones de cocheras y también vehículos.
“La realidad es que es un dispositivo muy potente”, describe Perez. “Cualquiera que busque Flipper Zero en YouTube va a ver que hay casos en donde se han abierto automóviles. Lo que hace es capturar el código de la llave de apertura de un automóvil y grabarlo en su memoria, impedir que llegue el código original de la llave al auto y emitir su propio código. De esta manera podríamos abrir un auto de alta gama en forma remota, lo cual es muy peligroso”, advierte.
En TikTok también se han viralizado cantidad de vídeos donde lo utilizan para una serie de travesuras que, en algunos casos, lindan con lo delictivo. Por ejemplo, como control remoto universal para apagar los televisores que hacen de menús digitales en las cadenas de comida rápida, tocar timbres inalámbricos a distancia o abrir habitaciones de hoteles y barreras de seguridad.
Este pequeño aparatito también es compatible con la tecnología de identificación por radiofrecuencia (RFID), muy utilizada en sistemas de seguimiento de cadena de suministro, chips para mascotas y sistemas de control de ingresos, “como son las clásicas tarjetas de acceso que están en las puertas de los edificios u oficinas”, explica David. “Puede ser un lector, una cerradura o un registro, lo importante es que muchas de estas tarjetas no están codificadas con un sistema criptográfico, por lo que el Flipper Zero puede reproducir el código de estas tarjetas. Si previamente logré clonar la tarjeta de alguien que la dejó arriba de una mesa, por ejemplo, yo podría tranquilamente entrar a esa oficina o departamento”.
Las tarjetas sin contacto también están en la mira de este ingenioso artilugio. Estas tarjetas incorporan una tecnología de comunicación de campo cercano (NFC, por sus siglas en inglés) que permite realizar pagos sin necesidad de insertar o deslizar la tarjeta en una terminal de punto de venta. La tecnología NFC es un tipo específico de RFID que opera a una frecuencia determinada y tiene un alcance muy corto, de apenas unos pocos centímetros, y se utiliza como estándar para las tarjetas contactless, ya que ofrece mayor seguridad y rapidez al realizar pagos o intercambiar información.
“El Flipper Zero también actúa como lector y emisor NFC, que es la tecnología que tienen algunos celulares con las cuales se puede pagar”, precisa el especialista en ciberdefensa. “Por lo que tranquilamente podría emular un dispositivo NFC y forzar un pago con una tarjeta, siempre y cuando estemos cerca del objetivo”.
Es importante aclarar que el Flipper Zero no es capaz de leer toda la información de una tarjeta de crédito mediante NFC para replicarla, ya que las claves de las firma de las transacciones -afortunadamente- no pueden ser extraídas mediante esta tecnología. Estas claves se utilizan para firmar digitalmente una operación, lo que garantiza que la información no haya sido alterada durante la transmisión y que proviene de una fuente legítima. Sin embargo, actualmente existen algunos proyectos que, con fines educativos, exploran la posibilidad de usar la bobina RFID del Flipper Zero para obtener los datos de la banda magnética de una tarjeta de crédito o débito y, posteriormente, imitar a la tarjeta real.
“Tuve la suerte de ir este año a la Black Hat, la convención de ciberseguridad más grande del mundo que se hace en Las Vegas, y pude adquirir uno de estos dispositivos”, cuenta David. “La realidad es que son muy peligrosos. De hecho, Amazon los retiró de su tienda online por considerarlos una amenaza a la seguridad. Ciertamente, lo son, tanto como un cuchillo o como una tijera, pero en manos equivocadas pueden hacer cosas realmente impresionantes”, precisa el experto en seguridad informática.
Pero no solo Amazon prohibió la venta del Flipper Zero a través de su sitio web por ser considerado un “dispositivo para el robo de tarjetas”. La Agencia Nacional de Telecomunicaciones de Brasil, ANATEL, ha catalogado a estos dispositivos como herramientas con propósitos delictivos, impidiendo su certificación y en consecuencia, prohibiendo su importación legal. Debido a esto, las compras realizadas por particulares vía internet fueron incautadas al arribar al país.
“Si me preguntas cómo es posible que algo así esté a la venta… Bueno, es porque se trata de un dispositivo que suele ser utilizado por los Red Teams”, aclara David. Un “Red Team” es un grupo de profesionales que trabaja para ayudar a una empresa a identificar y corregir debilidades en su seguridad. Realizan pruebas y simulaciones para descubrir vulnerabilidades y problemas en sistemas, redes o procesos, actuando como si fueran ciberdelincuentes para encontrar posibles puntos débiles. “Las grandes compañías suelen tener equipos de Red Team y ellos tratan continuamente de ‘romper’, entre comillas, la propia seguridad de sus propios dispositivos. De esta manera, a través de la retroalimentación, buscan mejorar la calidad de los mismos”, explica.
El Flipper Zero no incorpora ninguna tecnología especialmente innovadora. En todo caso, la novedad radica en su pequeño tamaño, su interfaz y su adaptabilidad a diferentes escenarios y contextos profesionales. Su precio de apenas 169 dólares lo hace un instrumento bastante accesible desde lo económico, aunque cada vez que aparece un nuevo lote de unidades, se agotan tan rápido que es muy difícil hacerse con uno.
Además, no se trata de un dispositivo sencillo de utilizar; se requiere de sólidos conocimientos técnicos para aprovecharlo de manera genuina. En cualquier caso, un delincuente que quiera hacerse con nuestros bienes, tiene a su alcance instrumentos mucho más rudimentarios y efectivos, como prueban gran cantidad de noticias policiales.
Estigmatizar a una simple herramienta no es acertado, ya que el problema real radica en el uso malicioso por parte de individuos con intenciones delictivas, nunca en la herramienta en sí misma. Depende de nosotros concientizarnos sobre el buen uso de la tecnología en lugar de satanizar objetos que son, esencialmente, neutrales.