--:--:--

Flipper Zero e a turma: as ferramentas de hacker que andam por aí e como se proteger de verdade

2026-06-16

Aquele aparelhinho com golfinho na tela que abre portão e desliga TV em vídeo viral é só a ponta do iceberg. Entenda de forma honesta o que o Flipper Zero e outras ferramentas de hacker (Rubber Ducky, WiFi Pineapple, O.MG Cable) fazem de verdade, o que é mito, e principalmente como se proteger delas no dia a dia. Post educativo e defensivo, sem tutorial de ataque.

Flipper Zero e a turma: as ferramentas de hacker que andam por aí e como se proteger de verdade

Tem um vídeo que provavelmente já passou pelo seu feed: alguém com um aparelhinho do tamanho de um chocolate, com um golfinho na telinha, encostando ele numa catraca, num portão de garagem ou numa televisão de bar, e a coisa simplesmente obedecendo. Parece mágica, parece filme de hacker. Esse aparelho é o Flipper Zero, e ele é só a ponta de um iceberg de ferramentas de cibersegurança que viraram acessíveis pra qualquer um comprar pela internet.

Resolvi escrever esse post por um motivo: o melhor jeito de se proteger de algo é entender como aquilo funciona. Existe muita desinformação rolando, muito vídeo sensacionalista que faz essas ferramentas parecerem armas mágicas que abrem tudo, e muita gente com medo do aparelho errado enquanto ignora o risco real. Então vamos com calma e com honestidade. Vou explicar o que essas ferramentas de fato fazem, o que é mito, e principalmente, que é o que importa de verdade, como você se protege delas no dia a dia. Aviso desde já: aqui não tem tutorial de ataque nem passo a passo pra invadir nada. O objetivo é defensivo, é informação pra você blindar a sua vida digital e física. Bora entender o jogo pra saber se defender dele.

Primeiro, um aviso importante sobre o tom desse post

Essas ferramentas existem, são vendidas abertamente e têm usos completamente legítimos. Pesquisadores de segurança, profissionais de teste de invasão (os tais pentesters), administradores de rede e estudantes de cibersegurança usam elas o tempo todo pra encontrar e corrigir falhas antes que criminosos as explorem. É um trabalho do bem, essencial pra que bancos, empresas e sistemas fiquem mais seguros.

O problema, como em quase tudo, é o uso. A mesma chave de fenda que monta um móvel pode arrombar uma fechadura. Usar essas ferramentas contra sistemas, redes ou propriedades que não são suas, sem autorização, é crime na maioria dos países, incluindo o Brasil. Então este post trata delas pelo ângulo que interessa pra você, leitor comum: saber que existem, entender o que conseguem fazer, e fechar as portas que elas tentam abrir.

O astro da festa: o Flipper Zero

Vamos começar pelo famoso. O Flipper Zero nasceu de uma campanha de financiamento coletivo em 2020, que pedia cerca de 60 mil dólares e acabou arrecadando 4,8 milhões, quase dez vezes a meta. Até 2025, já tinha vendido mais de um milhão de unidades. O sucesso não foi por acaso: ele juntou, num aparelhinho do tamanho de uma barra de chocolate e com cara de bichinho virtual (aquele golfinho que evolui conforme você usa), um monte de capacidades que antes exigiam uma mochila cheia de equipamentos caros.

Na essência, o Flipper Zero é um canivete suíço de sinais sem fio. Ele lê, guarda e reproduz vários tipos de comunicação que estão à nossa volta o tempo todo. Vou destrinchar o que ele faz de verdade, parte por parte:

RFID e NFC (125 kHz e 13,56 MHz). São as tecnologias dos cartões de aproximação: crachás de prédio, chaves de hotel, cartões de transporte, alguns sistemas de ponto. O Flipper consegue ler esses cartões, guardar o código e, em muitos casos, emular o cartão, ou seja, fingir ser ele. É aqui que mora o famoso "clonar o crachá". Funciona bem em cartões antigos e sem criptografia, como os modelos MIFARE Classic, que ainda são muito usados.

Sub-GHz (rádio de 300 a 928 MHz). É a faixa de rádio usada por controles de portão de garagem, controles de carrinho, campainhas, alguns sistemas de alarme. O Flipper captura o sinal de um controle e pode reproduzir depois. Aqui entra um conceito crucial que separa o vulnerável do seguro, e que vou explicar já já: código fixo versus código rolante.

Infravermelho (IR). Essa é a função que viralizou. O Flipper tem um emissor de infravermelho com um banco gigante de códigos de TVs, ar-condicionados, projetores e caixas de som. É por isso que tem tanto vídeo de gente desligando a TV de bares e aeroportos. Parece assustador, mas é exatamente a mesma coisa que qualquer controle universal de 20 reais faz. O impacto real em segurança é baixíssimo, é mais travessura que ameaça.

BadUSB. Quando você liga o Flipper num computador por cabo, ele pode se passar por um teclado e digitar comandos sozinho, em altíssima velocidade. Isso permite rodar uma sequência de comandos automáticos numa máquina desbloqueada. Por que funciona? Porque computadores confiam em teclados por natureza. Falaremos mais disso quando chegarmos no primo dele, o Rubber Ducky.

GPIO e expansões. Ele tem pinos pra conectar módulos extras, como uma plaquinha de WiFi, expandindo ainda mais o que pode fazer. Sozinho, o Flipper não faz ataque de WiFi; precisa desse acessório.

O que o Flipper Zero NÃO faz (separando o mito da realidade)

Essa parte é tão importante quanto a anterior, porque a internet exagera muito. Vamos furar algumas bolhas:

Ele não abaixa o preço da bomba de gasolina. Tem vídeo viral disso. É falso, montagem. Não funciona assim.

Ele não rouba dados do seu cartão de crédito por aproximação. Os cartões de pagamento modernos usam criptografia e geram um código diferente a cada transação. O Flipper até detecta o cartão, mas não consegue extrair os dados nem clonar pra fazer compras. Aquela história de "passaram a maquininha perto da minha bolsa e clonaram meu cartão" não acontece com a tecnologia atual de pagamento.

Ele não abre carro moderno nem portão com código rolante. E aqui está o conceito mais importante do post inteiro. Sistemas antigos usavam código fixo: o controle mandava sempre o mesmo sinal, então bastava capturar uma vez e repetir. Sistemas modernos usam código rolante (rolling code): a cada uso, o controle e o receptor combinam um código novo, válido só uma vez. Capturar não adianta, porque aquele código já expirou. A esmagadora maioria dos carros e portões fabricados na última década usa código rolante, e isso bloqueia o ataque de repetição. Se um portão abre com um sinal repetido pelo Flipper, ele já era inseguro muito antes do Flipper existir.

Resumindo o Flipper: é uma ferramenta poderosa de aprendizado e auditoria, genial pra estudar como os sistemas sem fio funcionam. Mas ele é mais eficaz contra tecnologia velha e mal protegida do que contra sistemas modernos. O perigo real dele não é mágica, é expor o que já estava frágil.

As outras ferramentas que andam por aí

O Flipper é o mais famoso, mas não está sozinho. Existe uma empresa chamada Hak5 que é referência mundial em ferramentas de teste de invasão, e os produtos dela são usados por profissionais de segurança no mundo todo. Vale conhecer os principais, porque entender que eles existem já é meio caminho pra se proteger.

USB Rubber Ducky. Parece um pendrive comum, mas é um teclado disfarçado. Quando plugado, ele "digita" uma sequência de comandos em milissegundos, rápido demais pra um humano reagir. Pode abrir programas, baixar arquivos, mudar configurações, tudo em segundos. O truque é o mesmo do BadUSB: o computador confia em qualquer coisa que se apresente como teclado. É a razão número um pra você nunca plugar um pendrive achado no chão.

O.MG Cable. Esse é assustador pela aparência inofensiva: é um cabo de carregar celular, idêntico a qualquer outro, mas com um implante escondido dentro. Ele pode injetar comandos, ser controlado remotamente por WiFi, registrar o que você digita. Por fora, um cabo comum. Por dentro, uma ferramenta de ataque que antigamente só agências de espionagem tinham. É o motivo pra você não usar cabos de procedência duvidosa nem cabos largados em lugares públicos.

WiFi Pineapple. Esse mira nas redes sem fio. Ele cria redes WiFi falsas que imitam as verdadeiras (aquele "WiFi grátis do aeroporto"), e engana seu celular ou notebook pra se conectar nelas. Uma vez conectado, o atacante pode espionar seu tráfego, capturar senhas, injetar conteúdo malicioso. É o clássico ataque "man-in-the-middle", o homem no meio, em que alguém se coloca entre você e a internet.

Bash Bunny, Shark Jack, Key Croc e outros. Há uma família inteira de aparelhos especializados: alguns grampeiam conexões de rede cabeada, outros são registradores de teclado (keyloggers) avançados, outros automatizam ataques em rede assim que conectados. Todos pensados originalmente pra profissionais testarem as defesas das próprias empresas.

Agora o que interessa de verdade: como se proteger

Chegamos na parte mais importante. Você não precisa virar especialista em segurança nem viver com paranoia. A maioria dessas ameaças é barrada por hábitos simples e por usar tecnologia atualizada. Vou separar a proteção por tipo de ameaça, pra ficar prático.

Contra clonagem de cartões e crachás (RFID/NFC)

Use uma carteira ou porta-cartões com bloqueio RFID. São baratos e impedem que alguém leia seus cartões de aproximação à distância. Vale especialmente pra crachás de acesso e cartões de transporte. Sobre o cartão de crédito, fique tranquilo: como expliquei, pagamento por aproximação moderno é criptografado e seguro, mas se quiser camada extra de paz de espírito, a carteira bloqueadora cobre tudo de uma vez. Se você usa crachá no trabalho, sugira ao setor de TI que migrem pra cartões com criptografia, caso ainda usem os modelos antigos. E nunca deixe o crachá exposto pendurado em local público por tempo demais.

Contra ataques por USB e cabos (Rubber Ducky, O.MG)

Esta é talvez a regra de ouro da segurança física: nunca plugue um dispositivo USB que você encontrou. Aquele pendrive "perdido" no estacionamento ou no saguão pode ser uma isca. Criminosos espalham esses dispositivos de propósito contando com a curiosidade das pessoas. Não plugue nem pra "descobrir de quem é". Da mesma forma, não use cabos de carregar de origem desconhecida, e desconfie de cabos largados em cafés, aeroportos e hotéis. Compre seus cabos e pendrives de fontes confiáveis. Se precisa carregar o celular numa tomada USB pública (em aeroporto, por exemplo), use um bloqueador de dados (data blocker), um adaptadorzinho que deixa passar energia mas bloqueia a transferência de dados. E mantenha seu computador sempre bloqueado quando se afasta dele, porque vários desses ataques precisam da máquina destravada.

Contra redes WiFi falsas (WiFi Pineapple)

Desconfie de redes WiFi abertas e gratuitas, principalmente em lugares públicos. Aquela rede "Free WiFi Aeroporto" pode ser uma armadilha. Algumas dicas concretas: evite acessar banco ou fazer compras conectado em WiFi público. Se precisar usar uma rede pública, use uma VPN de confiança, que criptografa todo o seu tráfego e torna inútil o que o atacante capturar. Desligue a conexão automática a redes abertas no seu celular, pra ele não se conectar sozinho em qualquer rede conhecida pelo nome. E sempre que possível, prefira usar os dados do seu próprio celular (4G/5G) em vez de WiFi público para coisas sensíveis.

Contra captura de sinais de portão e carro (Sub-GHz)

Se o seu portão de garagem ou alarme ainda usa controle de código fixo, considere atualizar pra um sistema com código rolante. É a defesa mais eficaz, porque torna a captura de sinal inútil. Para o carro, os modelos modernos já vêm protegidos, mas existe um ataque diferente chamado relay (que estende o sinal da sua chave de longe), então guardar a chave do carro numa bolsa bloqueadora de sinal (as tais Faraday) à noite, perto de casa, é uma proteção extra contra furto de veículos com chave por aproximação.

As proteções universais que valem pra tudo

Além das específicas, tem um punhado de hábitos que protegem você contra essas e praticamente todas as outras ameaças digitais:

Mantenha tudo atualizado. Sistema do celular, do computador, dos aparelhos. As atualizações corrigem justamente as falhas que essas ferramentas exploram. Use senhas fortes e diferentes pra cada serviço, de preferência com um gerenciador de senhas. Ative a verificação em duas etapas (2FA) em tudo que for importante, porque mesmo que roubem sua senha, sem o segundo fator não entram. Desconfie de pressa e de coincidências boas demais, que a maioria dos golpes depende de te apressar ou te seduzir. E mantenha um bom hábito de bloquear telas e não deixar aparelhos sozinhos em locais públicos.

Sobre o lado legal e os banimentos

Vale registrar que essas ferramentas viraram tema de debate em vários países. O Flipper Zero, por exemplo, chegou a ser barrado ou alvo de propostas de restrição em alguns lugares, e o Canadá chegou a discutir um banimento de dispositivos do tipo em 2024, ligando-os a furtos de veículos. A discussão é delicada: como regular uma ferramenta que tem usos legítimos importantes sem criminalizar pesquisadores e estudantes? A tendência mundial tem sido tentar separar o uso legítimo do mal-intencionado, em vez de proibir o aparelho em si.

No Brasil, possuir esses aparelhos não é proibido, mas usá-los contra sistemas de terceiros sem autorização cai na lei de crimes cibernéticos. Ou seja, a ferramenta é neutra; o que define o crime é o que você faz com ela. Quem compra pra estudar e testar os próprios equipamentos está do lado certo da linha.

O recado final: conhecimento é a melhor defesa

Se tem uma coisa que eu queria que você levasse desse post, é que pânico não protege ninguém, mas informação sim. Essas ferramentas parecem mágicas nos vídeos, mas a maioria dos ataques que elas viabilizam depende de duas coisas: tecnologia velha e desatualizada, e descuido humano. As duas estão sob o seu controle.

Repare que quase todas as proteções que listei são hábitos simples: não plugar USB estranho, desconfiar de WiFi grátis, manter as coisas atualizadas, usar 2FA, uma carteirinha bloqueadora. Nada disso é caro ou complicado. É o equivalente digital de trancar a porta de casa e não deixar a chave embaixo do tapete. O criminoso, na imensa maioria das vezes, procura o alvo fácil. Sendo um alvo difícil, você já resolveu 95% do problema.

E se esse mundo te despertou curiosidade, que ótimo. A cibersegurança é uma área fascinante, cheia de oportunidade de carreira, e estudar como as coisas funcionam, nos seus próprios aparelhos e de forma ética, é um baita hobby e uma habilidade valiosa. A mesma curiosidade que move o crime também move a defesa. A diferença está em que lado você escolhe jogar. E agora você já entende um pouco melhor o tabuleiro.

#cibersegurança #flipper zero #hacking #segurança digital #privacidade #hak5 #proteção