Un usuario de TikTok enseña a sus seguidores cómo es capaz de abrir la puerta de un garaje con un pequeño dispositivo naranja y blanco. Es un Flipper Zero, una herramienta que se ha vuelto viral en TikTok y a la que muchos han apodado “el Tamagotchi de los hackers”. Este aparato, que tiene apariencia de un juguete, es un pentester o penetration tester: así se conoce a los dispositivos o aplicaciones diseñados para probar la vulnerabilidad de los sistemas.
Sin embargo, su viralidad se debe a un supuesto uso bastante distinto: cientos de usuarios prometen que, con Flipper Zero, se podrá grabar una señal emitida, como por ejemplo la de la puerta de un garaje, para después reproducirla y abrir esa puerta. Según portales especializados en tecnología, Amazon habría prohibido su venta en la plataforma ante la posibilidad de que pudiera usarse para clonar tarjetas de crédito. No obstante, a 19 de mayo de 2023, el dispositivo sigue disponible en su web y también en otras plataformas como eBay o Etsy.
Los expertos señalan a Maldita.es que usar este tipo de dispositivos no es tan fácil porque se necesitan “conocimientos técnicos avanzados” para manejarlos y hacer que funcionen. Además, para clonar esas señales es necesario estar muy cerca de los dispositivos, por lo que se podría identificar y localizar a quienes lo hicieran. No obstante, reconocen que esta herramienta puede suponer cierto peligro para aquellos dispositivos que no están protegidos por los sistemas de cifrado que se utilizan hoy día, como coches o móviles más antiguos, ya que pueden ser vulnerables ante herramientas de este tipo. Lo mejor, en esos casos, es actualizar los dispositivos o renovarlos.
Qué es Flipper Zero y cómo funciona
“Hoy os enseño cómo copiar frecuencias con tu Flipper Zero”, asegura un usuario de TikTok. En poco más de un minuto, el usuario muestra cómo conseguirlo con un timbre. No es el único ejemplo, en la red social encontramos vídeos sobre cómo hacerlo con motos, televisiones y aires acondicionados o coches.
Flipper Zero es un pequeño dispositivo de color naranja y blanco que, según explica a Maldita.es el experto en ciberseguridad y maldito Alberto Amado, está creado para realizar pruebas de seguridad (pentesting) sobre diferentes sistemas de tecnologías inalámbricas. El experto señala que tiene diferentes funcionamientos pero que el que se “vende” en redes sociales es aquel en el que se puede grabar una señal emitida: “Es el caso, por ejemplo, de abrir la puerta de garaje, grabar esa señal y luego reproducirla para poder abrir esa puerta con Flipper Zero”.
@jcamara_twitch Hoy probamos a copiar la frecuencia de una llave de garaje y emularla con el #FlipperZero #Hacking #Hacker #ciberseguridad ♬ Chill Vibes - Tollan Kim
Jorge Louzao, maldito y experto en ciberseguridad, señala a Maldita.es que Flipper Zero trae algunas limitaciones de fábrica para evitar su uso indebido, pero advierte que estas se pueden desactivar con firmwares (programas de terceros) y que hay algunos específicos para coches.
Esta herramienta, con una pantalla de apenas 1,4 pulgadas y con apariencia de juguete, no es difícil de adquirir. Se vende en plataformas como eBay o Etsy por un precio superior 200 euros. Según medios especializados en tecnología, Amazon habría prohibido su venta en la plataforma ante la posibilidad de que pudiera usarse para clonar tarjetas de crédito. No obstante, a 19 de mayo de 2023, el dispositivo sigue disponible en su web.
Para Amado, el peligro reside en que los usuarios compren la herramienta pensando que es “la llave que abre muchos accesos” y que luego descubran, después de pagar esa cantidad de dinero, que “no es lo que esperaban”. Santiago Casteleiro, maldito y también experto en ciberseguridad, incide en que la concepción general es que “es un juguete”, pero la “realidad es que no lo es”.
Como con todas las herramientas de este tipo, dicen los expertos, se requiere de ciertos conocimientos técnicos avanzados para sacarle “su verdadera potencia”. A pesar de su viralidad, Amado señala que no es el primer dispositivo que se vende para comprometer sistemas: “Existen infinidad de ellos y no han tenido tanta repercusión como este. Lo de venderlo como algo que sin hacer nada te permite el acceso a una infinidad de sitios es lo que lo hace atractivo... son modas”. El experto insiste en que, aunque no existe la seguridad al cien por cien en ningún sistema, “tampoco es cierto que con comprar un determinado dispositivo vas a poder comprometer accesos, vehículos o móviles”.
¿Está regulado, es legal su uso? Para abrir puertas o coches, no
Muchos usuarios han apodado a esta pequeña herramienta como “el Tamagotchi de los hackers”. Esto se debe, dicen los expertos, a que el término ‘hacker’ siempre vende: “A todos nos gusta sentirnos hackers, pues somos vanidosos, y queremos mostrar que podemos doblegar sistemas”. Este dispositivo es viral en redes sociales y se agota rápidamente en los canales de venta pero, ¿es legal su uso?
Louzao explica que, al ser un aparato que usa radiofrecuencia, Flipper Zero necesita cumplir con la normativa europea, en el caso de Europa, y tener la autorización de la FCC, la Comisión Federal de Comunicaciones estadounidense, en Estados Unidos. El uso legal de este tipo de herramientas, dice el experto, es hacer pruebas de seguridad relacionadas con dispositivos de radiofrecuencia o sistemas de acceso, entre otros. Si se utiliza este tipo de dispositivo para abrir puertas, coches o acceder a móviles, señala Amado, hablaríamos de un uso ilegal, que, además, recuerda que “el uso de estas herramientas de forma maliciosa está penada por ley”.
¿Qué riesgos presenta este dispositivo para nuestra seguridad? ¿Cómo podemos protegernos?
¿Debemos preocuparnos? Según el dispositivo que tengamos (y tampoco hay que perder la cabeza). Amado señala que esta herramienta supone riesgos para aquellos dispositivos antiguos que no están protegidos por el sistema de cifrados que se utilizan hoy en día. Por ejemplo, el sistema de apertura a distancia de un coche moderno incorpora un sistema de "tokens" o claves de un solo uso a modo del Google Authenticator. Eso quiere decir, explica Amado, que aunque alguien grabe la señal emitida por nuestro mando luego no podría utilizarla porque ya no sería válida. “Ya se habría usado en una apertura y se habría gastado ese token. Para la siguiente apertura se necesitaría una nueva”, señala. Louzao añade que, aunque no es muy frecuente, sí que existen programas más sofisticados que permiten copiar llaves de coches o garajes más modernos.
Sin embargo, Amado subraya que en muchas ocasiones el proceso de uso no es tan sencillo: “Por ejemplo, para copiar la llave de un garaje necesitas estar cerca. Utilizas tu mando y justo en ese momento tienes a alguien cerca que graba tu señal. Es decir, necesitas cierta sincronicidad con el "malo" y una distancia relativamente corta porque el dispositivo tampoco tiene mucho alcance”.
Para desproteger móviles, otro de los ejemplos publicados en TikTok, también habrá que acceder físicamente al dispositivo: “Hay que realizar un ataque de fuerza bruta, es decir, probar contraseñas hasta acertar. Aunque existen videos en el que he visto que lo consiguen, son vídeos trucados en los que, tras un par de intentos, consiguen el acceso”. Amado recuerda, además, que la mayoría de los dispositivos móviles tienen diferentes sistemas de protección como que, por ejemplo, tras varios intentos de acceso el dispositivo borra todos los datos.
Para evitar riesgos si nuestro dispositivo es antiguo, dicen los expertos, lo mejor es actualizarlos o bien, si es posible, renovarlos.
El Instituto Nacional de Ciberseguridad (INCIBE) también ha advertido que si utilizamos este dispositivo de forma indebida, por ejemplo para robar los datos de otras personas o para violar su privacidad, podemos incurrir en un delito. Además, también puede que dañemos otros dispositivos o incluso los dejemos inservibles. Para evitar estos riesgos, el INCIBE da una serie de consejos para usar Flipper Zero de forma segura: *
- Úsalo de forma ética y legal: utiliza Flipper Zero de acuerdo con las leyes y regulaciones vigentes, respetando los derechos de los demás.
- Mantén el firmware actualizado: las últimas actualizaciones del dispositivo corrigen vulnerabilidades de seguridad y mejorarán su rendimiento.
- Atento a las conexiones: pon en práctica diferentes medidas de seguridad, como utilizar contraseñas seguras, para evitar que otras personas se conecten a tu dispositivo.
- Protege tus claves: si utilizas Flipper Zero para acceder a sistemas que están protegidos por contraseña, utiliza claves seguras y no las compartas con nadie.
- Controla físicamente tu dispositivo: no lo dejes desatendido y toma medidas para evitar su robo o que lo empleen otras personas.
En este artículo han colaborado con sus superpoderes los malditos Jorge Louzao, Santiago Casteleiro y Alberto Amado, expertos en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
* Hemos actualizado este artículo el 29 de septiembre de 2023 para incluir las indicaciones del INCIBE.
Primera fecha de publicación de este artículo: 22/05/2023