Menú
Sobre mí Servicios Trayectoria

Emprendimientos

Greek-Fire Services
gotHABITS
Shift Spotter
Lookatmedia
Blog
Trabaja conmigo
Matrix-style code on screen
Seguridad 6 Mar, 2026 • 18 min de lectura

El Hacking No Es lo que Piensas: Tus Primeras Victorias Reales de Seguridad

Hollywood lied to you about hacking. Here's what it actually is, why your Flipper Zero is gathering dust, and four projects that will change how you see security forever.

Compartir:
Lee Foropoulos

Lee Foropoulos

18 min de lectura

El Camino del Hacker: Una Serie de 5 Partes

Parte 1: IntroducciónParte 2: Dominio del FlipperParte 3: Fundamentos de KaliParte 4: ExplotaciónParte 5: La Auditoría Completa

Compraste un Flipper Zero. Tal vez fueron los videos de TikTok. Tal vez fue la promesa de "hackear" tu camino por el mundo digital. Tal vez simplemente pensaste que el delfín era lindo.

Y ahora está metido en un cajón.

Te entiendo. Lo desempaquetaste, jugaste con el analizador sub-GHz durante diez minutos, quizás copiaste el control remoto de tu TV, y después... nada. Porque nadie te dijo realmente qué hacer con él. Nadie conectó los puntos entre "gadget divertido" y "realmente entender seguridad".

Esta serie arregla eso. Al final de estos cinco artículos, entenderás cómo funciona realmente la seguridad, habrás realizado una auditoría completa de tu vida digital, y ese Flipper será una de las herramientas más usadas de tu kit.

Pero primero, necesitamos desaprender todo lo que Hollywood nos enseñó sobre hacking.

La mentira de Hollywood

Lo has visto mil veces. El genio con capucha teclea furiosamente mientras texto verde cae en cascada por la pantalla. "Estoy dentro", anuncia, habiendo burlado la seguridad del Pentágono en aproximadamente cuarenta y cinco segundos. La música dramática sube.

Esto es completamente falso.

El hacking real se ve así: Alguien pasa seis horas leyendo documentación sobre cómo funciona un protocolo particular. Notan que el mecanismo de autenticación tiene una falla, tal vez no valida correctamente la entrada, o tal vez confía en datos que no debería. Escriben un pequeño script para probar su teoría. No funciona. Depuran durante otras dos horas. Finalmente, encuentran el enfoque correcto. No suena música dramática. Probablemente necesitan café.

Hacking es entender los sistemas mejor de lo que sus diseñadores pretendían. Eso es todo. No es magia. No es talento innato. Es curiosidad más metodología más la voluntad de leer documentación aburrida.

Hacking es entender los sistemas mejor de lo que sus diseñadores pretendían. No es magia. Es curiosidad más metodología más la voluntad de leer documentación aburrida.

Los tres sombreros

El mundo de la seguridad divide a los profesionales en categorías según la intención:

  • Sombrero Negro: Actores maliciosos. Irrumpen en sistemas para beneficio personal, venganza o caos. Son criminales, y de quienes hablan las noticias.
  • Sombrero Blanco: Hackers éticos. Irrumpen en sistemas con permiso para encontrar vulnerabilidades antes que los sombreros negros. Las empresas les pagan por esto. Es una carrera legítima.
  • Sombrero Gris: La zona difusa. Pueden encontrar vulnerabilidades sin permiso pero las divulgan responsablemente en lugar de explotarlas. Legalmente cuestionable, éticamente debatible.

Lo que hacemos en esta serie es inequívocamente sombrero blanco. Estás probando tus propias cosas. Tu red. Tus dispositivos. Tu seguridad. Esto no solo es legal, es inteligente.

¿Por qué aprender esto?

No puedes defender lo que no entiendes. Todo profesional de seguridad necesita entender técnicas ofensivas, no para atacar a otros, sino para saber contra qué se defienden. Estás a punto de ver tu propia vida digital desde la perspectiva de un atacante. Ese conocimiento es poder.

La realidad legal

Dejemos esto claro inmediatamente, porque no me interesa ayudar a nadie a ir a prisión.

⚠️ La regla de oro

Solo prueba sistemas que poseas o tengas permiso explícito por escrito para probar.

Esto no es solo un consejo ético, es realidad legal. La Ley de Fraude y Abuso Informático (CFAA) en EE.UU. convierte el acceso no autorizado a sistemas informáticos en un delito federal. "Solo estaba aprendiendo" no es una defensa. "No pretendía hacer daño" no es una defensa. "Les informé sobre la vulnerabilidad" no es una defensa.

¿Las buenas noticias? Probar tus propias cosas es completamente legal. Tu red doméstica, tus dispositivos, tus cuentas: todo vale. Y honestamente, es donde deberías empezar de todos modos. Encontrarás suficientes vulnerabilidades en tu propia vida antes de necesitar buscar en otro lugar.

Cuando estés listo para ir más allá de tus propios sistemas, hay caminos legítimos:

  • Programas de Bug Bounty: Empresas como Google, Microsoft, Apple y miles más pagan a investigadores por encontrar vulnerabilidades. HackerOne y Bugcrowd son plataformas que conectan investigadores con programas. Esto es legal, autorizado y frecuentemente lucrativo.
  • Pruebas de Penetración: Conviértete en profesional. Las empresas contratan consultores de seguridad para irrumpir en sus sistemas. Obtienes autorización escrita, un alcance definido y un sueldo.
  • Capture The Flag (CTF): Entornos de práctica diseñados para ser hackeados. TryHackMe, HackTheBox y otros proporcionan campos de juego legales.

Todo en esta serie funciona con tu propio equipo. Sin zonas grises. Sin riesgo.

Tu kit de herramientas: Lo esencial

80%
De los conceptos prácticos de seguridad se pueden aprender con solo dos herramientas: un Flipper Zero y Kali Linux.

Nos vamos a enfocar en dos herramientas principales a lo largo de esta serie. Juntas, cubren aproximadamente el 80% de lo que necesitas entender sobre seguridad práctica.

El Flipper Zero

El Flipper Zero es una multiherramienta de $200 para frecuencias de radio y hacking de hardware. Parece un juguete (tiene un delfín animado). No es un juguete.

Lo que realmente hace:

  • Sub-GHz: Transmitir y recibir señales de radio en el rango sub-gigahercio. Esto cubre puertas de garaje, llaves de coche, sensores inalámbricos, estaciones meteorológicas e innumerables dispositivos IoT.
  • RFID (125kHz): Leer y emular tarjetas de proximidad de baja frecuencia, las usadas para acceso a edificios, membresías de gimnasio y llaves de hotel antiguas.
  • NFC (13.56MHz): Interactuar con tarjetas de alta frecuencia como pases de transporte, badges de acceso más nuevos y tarjetas de pago sin contacto.
  • Infrarrojo: Control remoto universal. Aprender y transmitir señales IR para TVs, aire acondicionado, proyectores y cualquier cosa con receptor IR.
  • BadUSB: Emular un teclado. Conéctalo a una computadora y escribe cualquier payload que hayas programado, instantáneamente.
  • GPIO: Expansión de hardware. Conecta módulos externos para WiFi, frecuencias de radio adicionales y proyectos personalizados.

El Flipper no hackea cosas automáticamente. Es una herramienta de aprendizaje que te permite entender cómo funcionan los protocolos inalámbricos interactuando realmente con ellos. Esa comprensión es lo que te hace peligroso (de la buena manera).

Kali Linux

Si el Flipper es una navaja suiza, Kali Linux es un taller completo.

Kali es una distribución Linux basada en Debian diseñada específicamente para pruebas de penetración e investigación de seguridad. Viene preinstalada con más de 600 herramientas de seguridad: desde escáneres de red hasta crackers de contraseñas y frameworks de explotación.

Profundizaremos en Kali en la Parte 3. Por ahora, solo sabe que existe y que es donde graduaremos una vez que dominemos los fundamentos del Flipper.

Por qué estas dos

Hardware y software. Físico y digital. El Flipper te enseña sobre el mundo inalámbrico: frecuencias de radio, tarjetas de acceso, infrarrojo. Kali te enseña sobre redes: escaneo, explotación, análisis.

Juntas, te dan una imagen completa. Los ataques del mundo real frecuentemente combinan ambos: acceso físico que lleva a comprometer la red, o reconocimiento de red que permite la entrada física. Entender ambos dominios es lo que separa a los aficionados curiosos de los verdaderos profesionales de seguridad.

Líneas de código en una pantalla oscura
El hacking real es leer documentación y entender sistemas, no texto verde cayendo en una pantalla

Punto Clave

Hacking es entender los sistemas mejor de lo que sus diseñadores pretendían. No es magia ni talento innato. Es curiosidad más metodología más la voluntad de leer documentación aburrida.

Flipper Zero: De la caja a experto

Vamos a configurar esto correctamente. Si estás usando firmware de fábrica, estás dejando capacidades sobre la mesa.

Firmware de fábrica vs. personalizado

El Flipper viene con firmware oficial de Flipper Devices. Es estable, es seguro y es... limitado. Restricciones regionales en frecuencias de radio. Protocolos faltantes. Menos funciones.

El firmware personalizado desbloquea todo el potencial del hardware. Las dos opciones principales:

Firmware Momentum (mi recomendación):

  • Frecuencias Sub-GHz regionales desbloqueadas
  • Soporte extendido de protocolos
  • Aplicaciones adicionales
  • Mejor personalización de interfaz
  • Comunidad de desarrollo activa
  • Excelente documentación

Firmware Unleashed (alternativa sólida):

  • Conjunto de características similar a Momentum
  • Filosofía de desarrollo diferente
  • Algunos prefieren su interfaz
  • También mantenido activamente

Yo uso Momentum. La elección entre ambos es mayormente preferencia personal: ambos expandirán dramáticamente lo que tu Flipper puede hacer.

Proyecto 0: Instalar Firmware Momentum

Tiempo: 10 minutos

Lo que necesitas: Flipper Zero, computadora, cable USB

Pasos:

  1. Descarga qFlipper de flipperzero.one (aplicación oficial de escritorio)
  2. Conecta tu Flipper vía USB
  3. En qFlipper, ve a la sección de firmware
  4. Selecciona "Instalar desde archivo"
  5. Descarga la última versión de Momentum desde momentum-fw.dev
  6. Instala el archivo .tgz a través de qFlipper
  7. Espera a que la actualización se complete (¡no desconectes!)
  8. Tu Flipper reinicia con capacidades expandidas

Orientación rápida

Con Momentum instalado, hagamos un recorrido por tus nuevas capacidades:

  • Sub-GHz: Captura, análisis y transmisión de frecuencias de radio
  • 125 kHz RFID: Lectura y emulación de tarjetas de baja frecuencia
  • NFC: Interacción con tarjetas de alta frecuencia
  • Infrarrojo: Aprendizaje y control de remoto IR
  • Bad USB: Payloads de emulación de teclado
  • iButton: Emulación de llaves Dallas/Maxim 1-Wire
  • GPIO: Expansión de hardware y módulos
  • Aplicaciones: Juegos, herramientas y apps de la comunidad

Configuraciones que vale la pena cambiar inmediatamente: aumentar el brillo de pantalla, establecer bloqueo automático en un tiempo razonable, y explorar las opciones específicas de Momentum para animaciones y ajustes de interfaz.

Tus primeras victorias: Cuatro proyectos que lo cambian todo

La teoría está bien. Hagamos algo. Estos cuatro proyectos tomarán aproximadamente una hora en total y cambiarán fundamentalmente cómo ves el mundo a tu alrededor.

Proyecto 1: Clona todos los controles remotos IR de tu casa

Tiempo: 15 minutos

Lo que aprenderás: Las señales IR no tienen seguridad. Cualquiera con $20 puede controlar tus dispositivos.

Pasos:

  1. Navega a Infrared → Learn New Remote
  2. Ponle un nombre útil (ej., "TV Sala de Estar")
  3. Apunta tu control remoto hacia el receptor IR del Flipper (parte superior del dispositivo)
  4. Presiona un botón en el control remoto
  5. Nombra ese botón en el Flipper
  6. Repite para todos los botones que uses (encendido, volumen, entrada, etc.)
  7. Guarda el control remoto
  8. Repite para cada dispositivo IR: TV, barra de sonido, aire acondicionado, ventiladores, tiras LED

Pruébalo: Ve a Infrared → Saved Remotes → selecciona tu control → úsalo

Lo que acabas de aprender: Los controles remotos IR transmiten comandos en texto plano sin autenticación. No hay cifrado, no hay emparejamiento, no hay seguridad alguna. Cualquiera que pueda apuntar un transmisor IR a tu TV puede controlarlo. Esto es verdad para la mayoría de la electrónica de consumo de los últimos 40 años.

Proyecto 2: Escanea tus tarjetas NFC

Tiempo: 10 minutos

Lo que aprenderás: Tus tarjetas transmiten más datos de lo que piensas.

Pasos:

  1. Navega a NFC → Read
  2. Sostén una tarjeta contra la parte trasera de tu Flipper (donde está la antena NFC)
  3. Espera a que la lectura se complete
  4. Examina los resultados

Prueba estas tarjetas:

  • Tarjetas de crédito/débito (ve qué se expone, usualmente tipo de tarjeta y número parcial)
  • Tarjetas de transporte (frecuentemente muestran saldo, transacciones recientes)
  • Badges de trabajo (identifica el tipo de tarjeta y cifrado)
  • Tarjetas llave de hotel (usualmente muestran asignación de habitación)
  • Tarjetas de membresía de gimnasio

Lo que acabas de aprender: Las tarjetas NFC transmiten datos inalámbricamente a cualquier lector dentro de unos pocos centímetros. Algunas tarjetas están cifradas (lo verás indicado). Algunas no lo están. El Flipper te muestra exactamente lo que cualquier lector NFC puede ver. Para tarjetas sin cifrado, eso es todo. Piensa en eso la próxima vez que estés en un metro lleno.

Concepto de tecnología y señales
El espectro de radio a tu alrededor está constantemente activo: simplemente nunca habías tenido las herramientas para verlo

Proyecto 3: Explora el espectro Sub-GHz

Tiempo: 15 minutos

Lo que aprenderás: Tu entorno transmite constantemente, y la mayoría no tiene seguridad.

Pasos:

  1. Navega a Sub-GHz → Frequency Analyzer
  2. Observa la pantalla: muestra actividad RF en tiempo real
  3. Camina por tu casa y vecindario
  4. Anota qué frecuencias se activan

Lo que verás:

  • ~315 MHz / ~390 MHz / ~433 MHz: Puertas de garaje, llaves de coche, sensores inalámbricos
  • ~433 MHz: Estaciones meteorológicas, timbres, algunos dispositivos IoT
  • ~868 MHz (UE) / ~915 MHz (EE.UU.): Dispositivos domésticos inteligentes, LoRa

Crédito extra: Ve a Sub-GHz → Read e intenta capturar señales. Presiona tu propio control de garaje (mirándolo a él, no a la puerta). Ve la señal capturada. Examina su protocolo.

Lo que acabas de aprender: El espectro sub-gigahercio es increíblemente activo. Puertas de garaje, llaves de coche, estaciones meteorológicas, sensores de seguridad, dispositivos domésticos inteligentes, todos transmitiendo. Muchos usan códigos estáticos que pueden ser capturados y reproducidos. Las llaves de coche modernas usan códigos rodantes (discutiremos por qué esto importa en la Parte 2), pero ¿los sistemas más antiguos? Completamente abiertos.

Proyecto 4: Tu primer payload BadUSB

Tiempo: 20 minutos

Lo que aprenderás: Las computadoras confían implícitamente en los teclados. Esta es una falla de seguridad fundamental.

Payload 1 - Hola Mundo:

REM This is a comment - Flipper ignores these lines
REM Simple Hello World payload
DELAY 1000
GUI r
DELAY 500
STRING notepad
ENTER
DELAY 1000
STRING Hello from Flipper Zero!
ENTER
STRING Your computer just trusted me completely.
ENTER
STRING Think about what else I could have typed...

Pasos:

  1. Crea un archivo llamado hello.txt con el payload anterior
  2. Conecta el Flipper a la computadora vía USB
  3. Copia el archivo a SD Card/badusb/
  4. En el Flipper: Bad USB → hello.txt → Run
  5. Conecta el Flipper al puerto USB de tu computadora
  6. Mira cómo escribe automáticamente

Payload 2 - Rick Roll (por diversión):

DELAY 1000
GUI r
DELAY 500
STRING https://www.youtube.com/watch?v=dQw4w9WgXcQ
ENTER

Lo que acabas de aprender: Cuando conectas un dispositivo USB que se identifica como teclado, tu computadora confía en él completamente. No hay un prompt de "¿confías en este teclado?" Simplemente funciona. El Flipper escribió esos caracteres más rápido que cualquier humano, y la computadora aceptó cada tecla. Ahora imagina un payload que abre PowerShell, descarga un script de internet y lo ejecuta. Así funcionan los ataques basados en USB en el mundo real. El acceso físico a un puerto USB es fin del juego.

Lo que acabas de aprender

En la última hora, descubriste:

  • IR no tiene seguridad. Cualquier dispositivo con un transmisor IR puede controlar cualquier dispositivo con un receptor IR. Línea de visión, sin autenticación, sin cifrado. Tu control remoto de TV transmite comandos que cualquiera puede capturar y reproducir.
  • Las tarjetas NFC filtran datos. Cada vez que acercas tu tarjeta a un lector, cualquier dispositivo NFC cercano puede ver ese intercambio. Las tarjetas cifradas protegen lo importante, pero muchas tarjetas, incluyendo algunas que llevas a diario, exponen más de lo que esperarías.
  • El espectro de radio es ruidoso. Cientos de dispositivos a tu alrededor transmiten constantemente. Puertas de garaje, llaves de coche, timbres, estaciones meteorológicas, dispositivos domésticos inteligentes, todos transmitiendo. Muchos con mínima o ninguna seguridad.
  • La confianza USB está rota. Las computadoras confían implícitamente en los teclados. Conecta un dispositivo que dice ser un teclado, y puedes escribir cualquier cosa, incluyendo comandos que comprometen el sistema.

Estas no son vulnerabilidades exóticas. Son fundamentales a cómo funcionan estas tecnologías. El Flipper no "hackeó" nada: te mostró cómo operan realmente estos sistemas, lo cual es en sí mismo la revelación.

La seguridad por oscuridad falla en el momento en que alguien realmente mira. Ahora tú eres alguien que realmente mira.

Lo que viene

Esto fue la base. Entiendes qué es realmente el hacking, has configurado tu Flipper correctamente y has completado cuatro proyectos que demuestran conceptos reales de seguridad.

En la Parte 2, profundizamos en cada capacidad del Flipper. Aprenderás:

  • Cómo analizar y potencialmente clonar tus propias tarjetas de acceso (inmersión profunda en 125kHz y 13.56MHz)
  • Por qué las señales de puertas de garaje funcionan como lo hacen, y qué significan realmente los códigos rodantes
  • Cómo escribir payloads BadUSB sofisticados que demuestran cadenas de ataque reales
  • Expansión GPIO: extendiendo las capacidades de tu Flipper con módulos de hardware
  • Todo lo que necesitas saber antes de graduarte a Kali Linux
Google Calendar Outlook
Plan de Acción Parte 1 0/6

Antes de eso, esto es lo que deberías hacer:

  • Explorar los ajustes del firmware Momentum y personalizar tu Flipper
  • Leer tus propias tarjetas de acceso y documentar lo que encuentres
  • Capturar más señales Sub-GHz y examinar los protocolos
  • Escribir un payload BadUSB personalizado que haga algo útil para ti
  • Unirte a la comunidad Flipper (Discord, Reddit, GitHub)

Tu Flipper ya no acumula polvo. Has comenzado el camino. La próxima vez, dominamos cada protocolo, y entenderás por qué tu tarjeta de trabajo podría ser menos segura de lo que piensas.

El Camino del Hacker

Una serie de 5 partes que te lleva de curioso a capaz.

Parte 1: Introducción ✓ Parte 2: Dominio del Flipper Parte 3: Fundamentos de Kali Parte 4: Explotación Parte 5: Auditoría Completa

Lista de verificación Parte 1

☐ Firmware: Momentum (o Unleashed) instalado y configurado

☐ Controles IR: Todos los controles del hogar capturados en el Flipper

☐ Tarjetas NFC: Tarjetas personales escaneadas, exposición de datos entendida

☐ Sub-GHz: Espectro explorado, señales capturadas

☐ BadUSB: Payload Hola Mundo ejecutado exitosamente

☐ Comprensión: Fundamentos de seguridad internalizados

How was this article?

Series

The Hacker's Path

View Overview →
1 Introduction 2 Flipper Mastery 3 Kali Fundamentals 4 Exploitation 5 The Full Audit
Part 2: Flipper Mastery

Compartir

Link copied to clipboard!

You Might Also Like

Terminal window with SSH connection on a dark monitor
Security

SSH Like You Mean It: The Windows-to-Kali Pipeline That Just Works

16 min read
Green matrix-style code streaming down a dark screen
Security

The Only Kali Linux Cheat Sheet You'll Ever Bookmark

14 min read
Linux terminal with code on screen
Technology

Skip the Forums: How I Used AI to Build the Perfect Linux Install in One Afternoon

10 min read
Lee Foropoulos

Lee Foropoulos

Business Development Lead at Lookatmedia, fractional executive, and founder of gotHABITS.

🔔

No te pierdas ninguna publicacion

Recibe notificaciones cuando se publiquen nuevos articulos. No se requiere correo electronico.

Veras un aviso en el sitio cuando haya una nueva publicacion, ademas de una notificacion del navegador si lo permites.

Solo notificaciones del navegador. Sin spam, sin correo.