ofensiva
Flipper Zero
seguridad física
RFID

Flipper Zero: qué es, para qué sirve y riesgos

Qué es Flipper Zero y para qué sirve: sub-GHz, RFID/NFC, BadUSB. Riesgos de seguridad física para empresas y cómo detectarlo y defenderse.

Secra6 de julio de 202610 min de lectura

Flipper Zero es un multiherramienta portátil de hacking hardware con forma de tamagotchi que integra en un solo dispositivo radio sub-1 GHz, lectura y emulación de RFID de 125 kHz, NFC de 13,56 MHz, infrarrojos, GPIO, iButton y emulación de teclado USB. Nació de una campaña de Kickstarter en 2020, corre firmware de código abierto y se ha convertido en el gadget de referencia tanto para aficionados como para equipos de Red Team que trabajan la capa física. Para un responsable de seguridad, sin embargo, lo relevante no es el pingüino de la pantalla, sino que un dispositivo de menos de 200 euros clona en segundos la tarjeta de acceso de un empleado o inyecta pulsaciones de teclado en un equipo corporativo desatendido.

Esta guía explica qué es Flipper Zero desde un punto de vista ofensivo y técnico, para qué sirve cada una de sus radios, qué riesgos concretos de seguridad física supone para una empresa y, sobre todo, cómo detectar y defenderse. No es contenido de tienda ni de hobby: asume marco legal, autorización explícita y uso profesional dentro de un pentesting o ejercicio de Red Team.

Qué es Flipper Zero

Flipper Zero es una plataforma de pentesting de hardware construida en torno a un microcontrolador STM32WB55, un SoC de doble núcleo (ARM Cortex-M4 para la aplicación y Cortex-M0+ para la pila de radio Bluetooth Low Energy). A su alrededor monta una serie de transceptores dedicados que le dan acceso a varios protocolos inalámbricos y de contacto de uso cotidiano en control de acceso, domótica y automoción.

Lo importante es entender que no es un dispositivo mágico. Flipper Zero no rompe cifrado moderno ni AES: su peligrosidad viene de que buena parte de la infraestructura física del mundo real sigue usando tecnología de los años noventa sin autenticación criptográfica. El Flipper simplemente pone esa fragilidad al alcance de cualquiera, con una interfaz cómoda y sin necesidad de saber soldar ni programar.

Para qué sirve: capacidades técnicas

Radio sub-1 GHz (CC1101)

El transceptor CC1101 le da acceso a las bandas sub-1 GHz que usan mandos de garaje, barreras de parking, telemandos industriales y multitud de dispositivos IoT (bandas aproximadas de 300 a 348 MHz, 387 a 464 MHz y 779 a 928 MHz). Flipper puede leer, guardar y reemitir señales. Contra mandos de código fijo el ataque de replay es trivial: capturas la señal y la reproduces. Los sistemas de código rodante (KeeLoq y similares) resisten el replay simple, aunque han sido objeto de ataques criptográficos documentados desde 2007.

RFID de baja frecuencia (125 kHz)

Aquí está uno de los riesgos empresariales más serios. Muchas tarjetas de acceso corporativas siguen siendo de 125 kHz: EM4100 (EM-Marin), HID Prox e Indala. Estas tecnologías no tienen ningún tipo de autenticación ni cifrado: la tarjeta transmite un identificador estático en claro. Flipper Zero lo lee acercándose unos centímetros y lo emula al instante, presentándose ante el lector como si fuera la tarjeta original. Clonar un badge de este tipo es cuestión de segundos.

NFC de alta frecuencia (13,56 MHz)

Con su chip NFC (ST25R3916) Flipper trabaja tarjetas de 13,56 MHz: MIFARE Classic, Ultralight, NTAG y otras ISO 14443. MIFARE Classic es especialmente relevante porque su cifrado propietario Crypto-1 está roto desde 2008: con ataques tipo nested y utilidades como mfkey32/mfkey64 se recuperan las claves de sector y la tarjeta se clona por completo. En cambio, MIFARE DESFire EV2/EV3, que usa AES, no es clonable de esta forma, y ahí está justo la frontera defensiva.

Infrarrojos, GPIO y iButton

El transceptor de infrarrojos convierte al Flipper en un mando universal: aprende y reemite códigos de televisores, proyectores, aires acondicionados y otros equipos de sala. Los ocho pines GPIO (3,3 V) permiten UART, SPI e I2C para depuración de hardware, volcado de firmware o conexión de módulos externos (por ejemplo una placa WiFi con ESP32). El lector iButton/1-Wire cubre las llaves de contacto Dallas todavía habituales en porteros y ascensores.

BadUSB y HID

Conectado por USB, Flipper Zero se presenta ante el ordenador como un teclado (dispositivo HID). Esto habilita ataques BadUSB: ejecuta scripts en lenguaje DuckyScript que teclean comandos a velocidad de máquina, abren una PowerShell, descargan un payload o crean un usuario local. Como el sistema lo ve como teclado y no como almacenamiento masivo, los controles que bloquean pendrives no lo detienen. Es la misma familia de amenaza que un keylogger hardware, pero en sentido inverso: en lugar de capturar, inyecta. Si quieres profundizar en por qué el código que corre por debajo del sistema operativo es tan crítico, revisa nuestra entrada sobre qué es el firmware.

Firmware oficial y forks de la comunidad

El firmware oficial respeta restricciones regionales de transmisión y limita ciertas funciones. La comunidad mantiene forks (Unleashed, RogueMaster, Momentum) que eliminan esos límites y añaden diccionarios de claves, más protocolos sub-GHz y utilidades ofensivas. Para un defensor, la conclusión práctica es que no conviene asumir el comportamiento del dispositivo de fábrica: cualquier atacante mínimamente motivado usará un firmware modificado con capacidades ampliadas.

Riesgos reales para las empresas

Clonado de tarjetas de acceso de empleados

El vector más subestimado. Un atacante no necesita robar la tarjeta: basta con acercar el Flipper a la cartera o al bolsillo de un empleado en un ascensor, una cafetería o una cola, o durante un tailgating clásico. Si el badge es de 125 kHz o MIFARE Classic, queda clonado. A partir de ahí el intruso entra por la puerta principal como un empleado más. Este ataque combina de forma natural con la ingeniería social, que resuelve el acercamiento físico y la excusa para estar en el edificio.

Inyección de pulsaciones (BadUSB) en equipos corporativos

Un equipo desatendido con sesión abierta, o incluso bloqueado si el atacante conoce credenciales, es suficiente. En segundos, el Flipper teclea una carga que establece persistencia, exfiltra datos o abre un canal de mando y control. Es rápido, silencioso y no deja el rastro de un ejecutable copiado a disco.

Replay de mandos sub-GHz

Barreras de parking, puertas de muelle de carga y telemandos de código fijo son vulnerables a captura y reemisión. En una nave logística o un aparcamiento corporativo, abrir una barrera equivale a franquear el perímetro sin pasar por recepción.

Cómo detectar y defenderse

La defensa es fundamentalmente de arquitectura, no de detección puntual del gadget:

  • Migra el control de acceso a credenciales criptográficas. Sustituye 125 kHz Prox y MIFARE Classic por MIFARE DESFire EV2/EV3 (AES), HID Seos o credenciales móviles con elemento seguro. Autentica la tarjeta por criptografía, no solo por su UID.
  • Sustituye Wiegand por OSDP con Secure Channel. El protocolo Wiegand entre lector y controladora viaja en claro y es interceptable con implantes como ESPKey o BLEKey (Bishop Fox, DEF CON 2015). OSDP v2 con canal seguro cifra y autentica ese enlace.
  • Controla el USB en el endpoint. Aplica device control con lista de permitidos de dispositivos HID, reglas de reducción de superficie de ataque (ASR) en Windows, bloqueo automático de pantalla y herramientas que detectan inyección de pulsaciones por velocidad anómala. El EDR debe alertar de PowerShell lanzada desde procesos de interfaz o de creación de usuarios locales.
  • Endurece la radio sub-GHz. Usa mandos de código rodante o cifrado para barreras y accesos, nunca código fijo.
  • Refuerza los controles físicos. Torniquetes y esclusas antitailgating, fundas RFID para los badges, y concienciación específica sobre proximidad de dispositivos.
  • Incluye la capa física en el alcance. Un ejercicio de Red Team que contemple clonado de tarjetas e intrusión física valida estos controles antes de que lo haga un atacante real.

Como referencia normativa, NIST SP 800-116 (control de acceso físico PIV), los controles PE de NIST SP 800-53 y el dominio de seguridad física de ISO 27001 (Anexo A.7) marcan el listón que debería cumplir cualquier organización seria.

Limitaciones honestas del Flipper Zero

Conviene desmitificarlo. Flipper Zero no rompe AES ni código rodante moderno, no clona tarjetas DESFire ni chips EMV bancarios, no hace WiFi sin una placa externa y tiene alcance de centímetros en RFID y NFC: exige proximidad real. Su fuerza está en explotar tecnología heredada e insegura, no en vulnerar criptografía sólida. Esa es también la buena noticia para el defensor: modernizar credenciales y enlaces neutraliza la mayoría de sus capacidades ofensivas de un plumazo.

Poseer un Flipper Zero es legal. Usarlo contra sistemas de terceros sin autorización no lo es: puede constituir acceso ilícito a sistemas de información o daños informáticos (artículos 197 bis y 264 del Código Penal), además de las implicaciones en protección de datos. Todo uso profesional debe enmarcarse en un contrato con autorización expresa, alcance definido y reglas de enganche, exactamente igual que cualquier otra prueba de intrusión.

Preguntas frecuentes

Sí. La compra y posesión son legales. Lo que la ley persigue es el uso no autorizado contra sistemas ajenos, que puede encajar en los artículos 197 bis y 264 del Código Penal. En un contexto profesional siempre se usa con autorización escrita del cliente.

¿Puede Flipper Zero clonar cualquier tarjeta de acceso?

No. Clona con facilidad tarjetas sin cifrado (125 kHz EM/HID Prox) y MIFARE Classic, cuyo cifrado Crypto-1 está roto. No clona MIFARE DESFire con AES, HID Seos ni credenciales modernas con elemento seguro.

¿Sirve para hackear WiFi o romper contraseñas?

No de fábrica. El Flipper no tiene radio WiFi propia; necesita una placa externa (por ejemplo con ESP32) y, aun así, no rompe cifrado robusto. Su terreno es RFID, NFC, sub-GHz, infrarrojos y BadUSB.

¿Cómo protejo a mi empresa del clonado de badges?

Migra a credenciales criptográficas (DESFire EV2/EV3, Seos o móvil), autentica por criptografía y no por UID, sustituye Wiegand por OSDP con canal seguro y añade controles antitailgating. Valídalo con un ejercicio ofensivo que incluya la capa física.

¿Un antivirus detecta un ataque BadUSB del Flipper?

No directamente, porque el dispositivo se presenta como teclado. La defensa efectiva es control de dispositivos HID, reglas ASR, bloqueo automático de pantalla y un EDR que correlacione comportamiento anómalo (PowerShell inesperada, creación de usuarios) tras conectar un periférico.

Recursos relacionados

Seguridad física con Secra

En Secra incluimos el clonado de credenciales, la inyección BadUSB y la intrusión física dentro de nuestros ejercicios de Red Team, no solo el pentesting de aplicaciones e infraestructura. Evaluamos la tecnología real de tus lectores y tarjetas, medimos hasta dónde llega un atacante con un Flipper Zero en el bolsillo y entregamos un plan de remediación priorizado (migración de credenciales, OSDP, control de USB y controles antitailgating). Si quieres saber cuán expuesto está tu control de acceso, escríbenos a través de contacto o consulta nuestro servicio de pentesting.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo