Es posible que hayas oído hablar del Flipper Zero. Se comercializa como una "multiherramienta portátil para geeks", un equipo portátil programable repleto de hardware que facilita las pruebas de penetración inalámbricas y el hacking sobre la marcha. El dispositivo, que saluda a su propietario con un adorable ciberdelfín en su pantalla monocroma de 128x64 píxeles, se está enfrentando a problemas en Brasil: a pesar de que hay productos con características similares a disposición de los brasileños, el regulador nacional de telecomunicaciones Anatel ha marcado el Flipper Zero como un dispositivo que sirve a fines ilícitos, o facilita un delito o falta. Al igual que ocurre con otros dispositivos emisores de radiofrecuencias, cuando el Flipper Zero se envía al país, la oficina nacional de correos intercepta y redirige el dispositivo a Anatel para su certificación. Anatel decide entonces no certificar el equipo y, como resultado, lo incauta, no permitiendo que el Flipper Zero siga adelante hasta su destino final.
Maciej Łutczyk, CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0), via Wikimedia Commons
El dispositivo en sí no introduce ninguna tecnología fundamentalmente nueva. Todo el hardware (transceptor de infrarrojos, lector/emulador RFID, SDR y Bluetooth LE) está disponible en otros productos, quizá más especializados. Lo novedoso de Flipper Zero es su formato y su interfaz, que lo hacen portátil y fácil de usar sobre el terreno.
La Flipper Zero ha sido calificada de multiherramienta de hacking. Y al igual que con una multiherramienta física, no cabe duda de que existen usos que facilitarían la comisión de un delito. Pero al igual que en el caso de una multiherramienta física, esto no justifica la prohibición total del acceso al dispositivo. Ya existen leyes que penalizan los actos de piratería maliciosa. Prohibir las herramientas comerciales solo hará que los sistemas de seguridad sean más vulnerables al limitar el acceso de quienes trabajan para asegurar estos sistemas. El pirateo malintencionado que preocupa a Anatel y que Flipper Zero permitiría depende de las vulnerabilidades de los sistemas: esos son los problemas reales que merecen una solución. Pero solamente podemos parchear los fallos de seguridad cuando sabemos que existen, y para eso está la investigación en seguridad.
Flipper Zero tiene usos claros: pruebas de penetración para facilitar el refuerzo de una red doméstica o infraestructura organizativa, investigación de hardware, investigación de seguridad, desarrollo de protocolos, uso por radioaficionados y muchos más. Sin embargo, es probable que sea su diseño único de interfaz de usuario lo que le ha dado notoriedad y le ha valido la atención de los medios de comunicación, lo que ha contribuido en parte a una descripción negativa de sus capacidades como "un problema a punto de ocurrir y mucho más".
Es esta notoriedad y representación lo que ha hecho que Anatel se centre en él como un dispositivo ilícito, mientras que otro hardware sigue estando disponible en el país. A pesar de los usos legítimos de un Flipper Zero, Anatel ha optado por centrarse en la posibilidad de un uso ilegal del dispositivo. La prohibición total del dispositivo provocará daños tangibles. Los profesionales verán limitado arbitrariamente el acceso a las herramientas de su oficio y (en contra del objetivo declarado de Anatel) podrían ser incapaces de desarrollar técnicas para mitigar los daños potenciales causados por hackers malintencionados con los mismos dispositivos.
La creación, posesión o distribución de herramientas relacionadas con la investigación de la seguridad no debe criminalizarse ni restringirse de otro modo. Como hemos explicado, basándonos en los derechos reconocidos por la Convención Americana sobre Derechos Humanos, las herramientas de ciberseguridad son cruciales para la práctica de la seguridad defensiva y tienen usos legítimos, como identificar y probar vulnerabilidades prácticas. La codificación es una actividad expresiva protegida y el uso de código informático para examinar sistemas informáticos y encontrar fallos de seguridad es un paso esencial para conseguir parchearlos y mejorar la privacidad y la seguridad para todos nosotros.
Negar la certificación al Flipper Zero no impide el uso de otras herramientas para explotar las mismas vulnerabilidades, como tampoco impide que la gente traiga un Flipper Zero del extranjero en su bolso sin tener que enviarlo a través de la frontera brasileña. Aunque la ley brasileña prohíbe el uso de dispositivos emisores de radiofrecuencia que no cuenten con la certificación de Anatel, tal ilegalidad difícilmente disuadiría a un hacker malintencionado. Los malintencionados encontrarían la forma de utilizar el dispositivo sin tener que dejar rastro en papel. Las acciones de la agencia obstaculizan a quienes se dedican a la investigación de seguridad. Pedimos a las autoridades brasileñas que reconsideren su decisión y permitan el acceso a las herramientas técnicas comerciales, incluido el Flipper Zero.
