Flipper Zero: el mejor regalo para hackers

Según La guía del autoestopista galáctico de Douglas Adams, los delfines son la segunda especie más inteligente del planeta, superando incluso a los seres humanos, quienes ocupan el tercer lugar.

Tal vez por eso no sorprende que uno de los juguetes favoritos de este año para hackers y makers se llame Flipper Zero y tenga por mascota un delfín.

Esta maquinita de colores blanco y naranjo es el equivalente a lo que sería un set de ganzúas para un cerrajero, pero especialmente diseñadas para el mundo digital. Con ellas puedes copiar y emular un sinnúmero de tecnologías del día a día, tales como controles remotos, tarjetas Bip! e incluso tarjetas de crédito y débito.

Anunciado en Julio de 2020, fue financiado comunitariamente en menos de 10 minutos desde su publicación en Kickstarter. Sin embargo, debido a varios problemas logísticos ocasionados por la pandemia e incluso un proveedor de pago que no quiso pagar, su despacho regular no empezó hasta mediados de 2022.

Debo admitir que quise pre ordenarlo desde que supe de su existencia, pero no alcancé durante la campaña de Kickstarter. Afortunadamente para mí (pero no para algunos early adopters), hace unos meses reiniciaron temporalmente la preventa en EEUU, por lo que pude comprarlo con una casilla en Miami y recibirlo antes que quienes lo encargaron hace dos años.

¿Valió las lucas, el aduanazo de comprar por casilla y la espera? ¡Definitivamente! A continuación, les cuento por qué.

¿Qué es Flipper Zero y qué puedo hacer con él?

Podríamos definir el Flipper Zero como el Kirby de los protocolos de comunicación digitales: puede leerlos, guardarlos y luego emularlos como si se tratase del dispositivo original.

Lo anterior es posible gracias al gran número de antenas, receptores y conectores que tiene, entre los que encontramos:

• Una antena Sub 1-GHz, para comunicarse con puertas de garajes, barreras de paso de autos e incluso otros Flipper a menos de 50 metros.
• Una antena RFID de 125kHz, para emular tarjetas que abren puertas en edificios y universidades y leer chips de animales.
• Una antena NFC, para leer y emular tarjetas de crédito y débito sin contacto e incluso clonar una Tarjeta Bip!.
• Bluetooth LE 5.0, para emular dispositivos que usan este protocolo, como teclados, mouse y botoneras. También para permitirte controlar el Flipper remotamente con tu smartphone.
• Transceptor Infrarrojo, para leer, guardar y repetir las señales de los controles remotos de televisores, aires acondicionados y equipos de música.
• Pines GPIO para extender la funcionalidad del Flipper con nuevos componentes físicos, como si fuera un Arduino o una Raspberry Pi.
• USB, lo que le permite actuar como un teclado o mouse, un dispositivo U2F o incluso correr scripts BadUSB (hablaremos de esto más adelante).

Cabe destacar que el código fuente del firmware del Flipper Zero es abierto, es decir, cualquiera que sepa programar puede meterse al código, personalizarlo y crear nuevas funcionalidades especiales (incluso apps).

Primeras impresiones

Como ven en la foto del sitio oficial, la caja del Flipper es linda, pero de un material no muy elegante.

Este es el Flipper con su funda el día que lo recibí. Apenas lo enciendes, se presenta. Lo censurado es el nombre único del delfín, que es distinto en cada dispositivo y corresponde a una combinación de entre varias letras y números.

Luego de activarlo y desbloquearlo, es posible acceder a los menús para jugar con cada una de las antenas y sensores ya mencionados.

Además, este dispositivo viene con dos apps de demo muy peculiares. Una es el juego Snake de los Nokia antiguos (el primero, en el que perdías si chocabas con la muralla, como debe ser) y otra es un reproductor de música monofónica con una parte del conocidísimo tema Marble Machine de Wintergatan.

Let's hack the world!

Les comparto algunas cosas interesantes que hackers de Chile y el mundo han hecho con ayuda del delfín:

• Abrir puertas de carga de energía de Teslas
• Deasctivar perros robot con armas militares
• Leer chips de mascotas perdidas, ayudando a encontrar a sus dueños
• Correr Doom (infaltable)
• Copiar una tarjeta Bip! y pagar pasaje de metro con el Flipper
• Hacer sonar pagers de restaurantes (a pesar de que eso no haga que tu comida esté lista antes)
• Probar y calibrar controles de Wii

No he tenido el tiempo de sacarle tanto el jugo, pero sí he alcanzado a hacer algunas cosas simples con él:

• Copiar el control del aire acondicionado y de televisores: me funcionó sin problemas en mi casa y la de mis amigos.
• Copiar una tarjeta Bip! para usar el Flipper en un validador de bus: lamentablemente, el validador del bus no me la tomó.
• Copiar la tarjeta que uso para entrar a la Universidad: no me sorprendió que funcionara. Cuando era estudiante hacíamos algo parecido en mi carrera, usando un teléfono Android con NFC y una aplicación especial que nos permitía entrar al campus acercando el teléfono al validador.
• Leer el chip de mi gata: luego de buscarlo mucho rato, no pude encontrarlo. ¿Se le habrá movido de donde se lo pusieron? Le preguntaré al veterinario en su próximo control.
• Leer los datos de mis tarjetas de crédito: funciona, aparecen los datos que se ven sobre ella.
• Usarla como 2FA de cuentas de Internet: el Flipper emula un dispositivo de autentificación físico (como las Yubikey), lo que permite proteger cuentas de internet como Google y Twitter igual que un factor de seguridad adicional. Lo configuré  con Twitter y funciona súper bien.
• Emular Amiibos de Nintendo Switch: si sabes buscar, puedes encontrar dumps de amiibos en repositorios de GitHub. Si los cargas al Flipper Zero, puedes emularlos y desbloquear cosas en los juegos de Nintendo Switch que los soporten.
• Conectar el Flipper al notebook de un compañero de trabajo desprevenido (previa autorización) con un script BadUSB: resultó igual que en las películas. Apenas lo conecté por USB, el Flipper abrió un terminal y se dibujó a sí mismo. No saqué una captura cuando ocurrió pero acabo de replicarlo en mi computador.

Flipper Zero: ¿es una herramienta buena o mala?

Sin duda el Flipper Zero es una herramienta con inmenso potencial, que aumenta cada día incluso después de haberla comprado, gracias a las constantes actualizaciones de su sistema operativo, gestionadas por una gran comunidad de hackers detrás de ella.

Como herramienta educacional le veo mucha utilidad, ya que permite aprender experimentando con cómo funcionan algunos protocolos tan cotidianos que olvidamos lo ubicuos que son en nuestras vidas. Como ya hemos contado acá, la seguridad basada en la oscuridad no es efectiva a largo plazo.

Muchos de los protocolos que Flipper Zero emula son antiguos e inseguros, tanto porque los dispositivos que los operan no son potentes como por falta de conocimiento de quienes los programan. Entender por qué son inseguros permite a las futuras generaciones de makers y hackers desarrollar mejores tecnologías para proteger a las personas.

Por eso, como toda herramienta, el delfín no es ni bueno ni malo. Lo que sí puede ser bueno o malo es el uso que tú le das. Si te motivas y compras uno, recuerda usarlo solo con dispositivos tuyos o de gente que te haya dado ese permiso. Si no, es muy probable que estés cometiendo algún delito.

Espero dedicar algunos días del verano que se viene a programar mi propia aplicación para el Flipper. Con un "Hello World" me declaro más que conforme, pero si me sale algo digno de compartir, lo subo a mi GitHub.

¿Te interesa comprarlo? Puedes hacerlo directamente en la tienda oficial con envío gratis a Chile.