A través de los EE. UU., innumerables edificios, desde oficinas gubernamentales hasta la puerta de su próxima habitación de hotel, están protegidos por cerraduras controladas por RFID. En un viaje reciente a mi oficina, pasé cerca de 20 de estos sistemas de entrada sin llave, que se encuentran entre los más generalizados del mundo. Pero un dispositivo divertido del tamaño de la palma de la mano con una interfaz similar a Tamagotchi probablemente pueda frustrar las cerraduras de muchas de estas puertas.
El dispositivo de $ 200 se llama Flipper Zero y es una herramienta portátil de prueba de pluma diseñada para piratas informáticos de todos los niveles de experiencia técnica. La herramienta es más pequeña que un teléfono, se puede ocultar fácilmente y está equipada con una variedad de radios y sensores que le permiten interceptar y reproducir señales de sistemas de entrada sin llave, sensores de Internet de las cosas, puertas de garaje, tarjetas NFC y prácticamente cualquier otro dispositivo. que se comunica de forma inalámbrica en distancias cortas. Por ejemplo, en solo unos segundos, usé el Flipper Zero para clonar sin problemas la señal de una tarjeta RFID de oficina guardada de manera segura dentro de mi billetera.
Si solo hubiera escuchado sobre Flipper Zero a través de TikTok, donde la herramienta se ha vuelto viral, podría pensar que era un juguete que podríahacer que los cajeros automáticos escupan dinero, los autos se desbloqueen solos y la gasolina se derrame de las bombas de forma gratuita. Pasé la última semana probando uno para determinar si el mundo era tan vulnerable a Flipper Zero como lo hacían las redes sociales. Lo que encontré fue mixto: muchos de los videos más dramáticos publicados en TikTok probablemente estén escenificados (la mayoría de los dispositivos inalámbricos modernos no son susceptibles a simples ataques de reproducción), pero el Flipper Zero sigue siendo innegablemente poderoso, lo que brinda a los aspirantes a piratas informáticos y a los probadores de penetración experimentados una conveniente nueva herramienta para probar la seguridad de los dispositivos inalámbricos más ubicuos del mundo.
En las reseñas, la gente compara Flipper Zero conuna navaja suiza para pruebas de penetración física. Pero en mi semana probando Flipper Zero, se sintió más como una luz negra, algo que literalmente podría sostener frente a un dispositivo que revelaría información, invisible para el ojo humano, sobre cómo funcionaba, qué datos estaba emitiendo y con qué frecuencia. lo estaba haciendo
Aquí hay una breve lista de algunas cosas que aprendí con la ayuda de Flipper Zero esta semana: Algunos microchips de animales te dirán la temperatura corporal de tu mascota. El sensor de presión de los neumáticos del automóvil de mi vecino filtra datos a cualquiera que esté dentro del alcance de la señal. Mi iPhone golpea mi cara con señales infrarrojas cada pocos segundos. El sistema de seguridad de mi hogar tiene detección de interferencia de señal incorporada. El baño de la oficina de WIRED tiene un dispensador de jabón que transmite si necesita una recarga.
Cuando le conté a Alex Kulagin, uno de los co-creadores de Flipper Zero, sobre mis experiencias usando su herramienta para hacer este tipo de observaciones mundanas, explicó que esto es exactamente para lo que está diseñado el dispositivo. “Queremos ayudarlo a comprender algo profundamente, explorar cómo funciona y explorar el mundo inalámbrico que lo rodea pero que es difícil de entender”, dice.
Kulagin y su socio comercial, Pavel Zhovner, tuvieron la idea de Flipper Zero por primera vez en 2019. Desde entonces, su empresa ha vendido 150 000 dispositivos y su equipo ha aumentado a casi 50 personas. Pero a medida que crecieron, encontraron cierta resistencia. Este verano,Pagos de más de $ 1.3 millones fueron retenidos por PayPal, y en septiembre, la Patrulla Fronteriza y de Aduanas de EE. UU. confiscó un cargamento de dispositivos. Según Kulagin, CBP liberó el envío después de un mes, pero aún no le ha dicho a la compañía por qué retuvo el envío. CBP rechazó la solicitud de WIRED de comentar sobre los Flipper Zeros incautados.
Bob Zahreddine es teniente del Departamento de Policía de Glendale y oficial ejecutivo de High Tech Crime Cops, un grupo de la industria formado por funcionarios encargados de hacer cumplir la ley que, según su sitio web, “conecta a los policías cibernéticos e investigadores”. Zahreddine dice que no está necesariamente sorprendido de que CBP se haya interesado en Flipper Zero. “Debido a que Flipper Zero es tan personalizable, existe la posibilidad de que se use en todo tipo de delitos”, dice.
La organización de Zahreddine mantiene un servidor de listas en el que los investigadores a menudo solicitan el consejo de sus compañeros y comparten noticias o información sobre los avances en la última tecnología policial. Le dijo a WIRED que si bien no ha escuchado ninguna charla sobre el uso de Flipper Zero en ningún delito en su servidor de listas, los investigadores conocen la herramienta y han estado siguiendo su desarrollo desde que Kulagin y Zhovner comenzaron a recaudar fondos en Kickstarter.
De hecho, es fácil imaginar cómo alguien podría infringir la ley o incluso hacer alguna pequeña travesura con este dispositivo. Por ejemplo, no solo pude clonar la placa de identificación de mi oficina con Flipper Zero, sino que también pude grabar la señal que hace el abridor de la puerta del garaje de mi vecino cuando se detiene en la entrada de su casa. Es probable que los autos más antiguos que no usan el cifrado de código variable se puedan desbloquear con el dispositivo, y mi Flipper Zero pudo leer el número de mi tarjeta de crédito a través de mi billetera y mis pantalones.
Pero Kulagin no está particularmente preocupado por el potencial de su herramienta para realizar travesuras criminales. “Obviamente, hay autos viejos que son vulnerables a Flipper. Pero no son seguros por definición, eso no es culpa de Flipper”, dice. “Hay gente mala por ahí, y pueden hacer cosas malas con cualquier computadora. No tenemos la intención de violar las leyes”.
Con ese fin, el firmware de Flipper Zero, de manera predeterminada, evita que las personas transmitan en frecuencias que están prohibidas en el país en el que se encuentra el dispositivo, y el servidor Discord de Flipper Zero prohíbe explícitamente las discusiones sobre firmware alternativo con características ilegales. La herramienta tampoco puede copiar ni reproducir ninguna señal cifrada. Por ejemplo, aunque pude leer la señal de mis tarjetas de crédito y débito, no pude usar esa señal para pagar nada con los sistemas de pago sin contacto. Sin embargo, debido a que el proyecto es de código abierto, un usuario inteligente de Flipper podría ajustar el firmware para habilitar una funcionalidad adicional, quizás maliciosa.
Cuando le pregunté a Kulagin si la policía lo había contactado por el Flipper, me dijo que no. “No, todavía no al menos”, dice.
Si bien es posible tener problemas con un dispositivo como Flipper Zero, la herramienta sin duda brinda a cualquier persona curiosa que busque aprender sobre los dispositivos que los rodean una forma de acceder y diseccionar las señales y protocolos que impulsan nuestras vidas. Personalmente, estoy más comprometido con la tecnología que encuentro mientras camino después de mi semana con Flipper Zero. Estoy pensando más como un pen-tester.