Chamele-o-nization (Spanish version)

Volviendo a los mundos del NFC y el RFID, ha caído en mis manos recientemente el Chameleon Ultra, y cómo no, aquí estamos para hacer una review y compararlo un poco con mi viejo Chameleon Mini (RevE) RDV2.0 Rebooted de Proxgrind. Así que el artículo tratará un poco de los dos hablando de su origen, sus aspectos físicos y también técnicos. Vamos al lío!Un poco de historiaEl Chameleon no es un dispositivo que se haya creado de la noche a la mañana. Kasper Oswald es la persona que movió todo esto en sus inicios. Allá por 2006 creó un engendro, por llamarlo de alguna manera, que consistía en una taza de café que emulaba un tag de una forma muy rudimentaria. El “Coffee Cup Tag Emulator”. Esto fue el padre, o más bien el tatarabuelo de la familia Chameleon.En 2007, creó el “Fake tag”. No entraremos en detalles sobre cada prototipo. Solo mencionarlos para que se vea la evolución del dispositivo.En 2010 se creó el Chameleon primigenio, que ya se parece un poco más a lo que tenemos hoy.En 2013 Salió el primer Chameleon Mini. La RevD.Y a partir de ahí ya salió en 2014 el Chameleon Mini RevE, y posteriormente ya el RevE Rebooted, RevF, RevG (que ya tenía bluetooth), Chameleon Tiny y Chameleon Lite hasta llegar al Chameleon Ultra y al Chameleon Ultra Dev Kit. Como veis, el camaleón es un animal que se adapta y evoluciona.En este artículo nos centraremos en el Chameleon Mini RevE Rebooted y el Chameleon Ultra sencillamente porque son los que yo tengo.Aspecto físicoVamos a ver unas fotos para familiarizarnos con ellos y diferenciarlos. Hay que decir que el tamaño del Chameleon Ultra respecto al Chameleon Mini, se ha reducido mucho, apenas mide 4cm además de que Chameleon Ultra está disponible en varios colores (negro, azul y blanco). Cambios en el hardware y especificaciones técnicasEl Chameleon Mini RevE, se conecta por USB con cable micro-USB. En cambio el Chameleon Ultra ya tiene conector USB-C además de Bluetooth BLE 5.0.Chameleon Mini solo soporta NFC (13,56Mhz) mientras que Chameleon Ultra además de NFC también soporta RFID de 125Khz.Chameleon Mini tenía 8 slots para almacenar NFC y Chameleon Ultra tiene 8 slots que son dual frequency. Es decir que en ellos se puede guardar un tag de NFC y uno de RFiD, así que podría decirse que tiene 16 slots de memoria (8hf y 8lf).La versión Mini se alimenta de una pila CR-2032 mientras que Chameleon Ultra tiene una batería interna de 90mAh que dado el poco consumo que tiene, puede durar hasta varios meses dependiendo del uso que le demos. La pila del RevE dura bastante, todo hay que decirlo, pero es un problema el día que descubres que se ha gastado y justo necesitas el dispositivo por lo que sea, así que digamos que tener batería también es otra ventaja.Otro de los cambios más importantes es el cambio de los chips. En el de emulación, el Chameleon Mini primigenio usaba el chip ATxmega128A4U, pero luego fue reemplazado por el chip ATxmega32A4U (16MHz, flash 32kb, EEPROM 1kb) que es el que tiene el Chameleon Mini RevE. Sin embargo, el chip que utiliza la versión Ultra del dispositivo es el chip nRF52840. ¿Por qué este cambio? Los desarrolladores argumentan que no solo es un chip más barato, sino que además tiene soporte Bluetooth BLE 5.0, RAM 256kb, 64MHz, consume poquísima energía y tiene muchísimo mejor rendimiento de emulación así como respuesta más rápida dado que en el anterior estaban limitados a la velocidad del reloj del protocolo SPI. Es decir, todo ventajas, y al parecer descubrieron este chip un poco de forma accidental. Muy curioso…En cuanto al chip de lectura y escritura, el Chameleon Ultra usa el chip MFRC522 que soporta más variedad de tipos de tags que su predecesor.Resumiremos los features o características de los dispositivos. El Chameleon Mini tiene las siguientes:Soporte de firmware para el códec ISO14443A (emulación y lectura)Emulación NFC 13,56 MHz de Mifare Classic 1K/4K, Ultralight/C (UID de 4 y 7 bytes)Procesador AVR de 8bits (ATxmega32A4U @ 32MHz)Memoria flash (32Kb) y 4kb de RAM.Soporte de hardware para modulación de carga ASK y BPSK usando una subportadora8 slots de tarjetas virtualizadas con un tamaño de hasta 8 Kb por tarjeta en la memoria no volátilDos botones programables y LEDsFirmware open-source y modular para fácil expansiónPeso 31g , Dimensiones 8,6cm x 5,2cm x 0,6cmEstas son las características del Chameleon Ultra:Soporte de firmware para el códec ISO14443A (emulación y lectura)Emulación NFC 13,56 MHz de Mifare Classic 1K/2K/4K, Ultralight/C/EV1, NTAG 210-218, Desfire EV1/2, Mifare PlusEmulación RfID 125 KHz de EM4xx, T5577, FDX-B, Paradox, Keri, Indala, HID Prox, PAC/Stanley, AWD, ioProx, Presco, Viking, Noralsy, NexWatch, Jablotron, GallagherSoporte para Bluetooth LE (BLE) 5.0Procesador ARM de 32bits (nRF52840 @ 64 MHz)Memoria flash (1 Mb) y 256Kb de RAMSoporte de hardware para modulación de carga ASK y BPSK usando una subportadoraModo lector con soporte para detección rápida de U

Abr 27, 2025 - 01:34

Volviendo a los mundos del NFC y el RFID, ha caído en mis manos recientemente el Chameleon Ultra, y cómo no, aquí estamos para hacer una review y compararlo un poco con mi viejo Chameleon Mini (RevE) RDV2.0 Rebooted de Proxgrind. Así que el artículo tratará un poco de los dos hablando de su origen, sus aspectos físicos y también técnicos. Vamos al lío!

Un poco de historia

El Chameleon no es un dispositivo que se haya creado de la noche a la mañana. Kasper Oswald es la persona que movió todo esto en sus inicios. Allá por 2006 creó un engendro, por llamarlo de alguna manera, que consistía en una taza de café que emulaba un tag de una forma muy rudimentaria. El “Coffee Cup Tag Emulator”. Esto fue el padre, o más bien el tatarabuelo de la familia Chameleon.

En 2007, creó el “Fake tag”. No entraremos en detalles sobre cada prototipo. Solo mencionarlos para que se vea la evolución del dispositivo.

En 2010 se creó el Chameleon primigenio, que ya se parece un poco más a lo que tenemos hoy.

En 2013 Salió el primer Chameleon Mini. La RevD.

Y a partir de ahí ya salió en 2014 el Chameleon Mini RevE, y posteriormente ya el RevE Rebooted, RevF, RevG (que ya tenía bluetooth), Chameleon Tiny y Chameleon Lite hasta llegar al Chameleon Ultra y al Chameleon Ultra Dev Kit. Como veis, el camaleón es un animal que se adapta y evoluciona.

En este artículo nos centraremos en el Chameleon Mini RevE Rebooted y el Chameleon Ultra sencillamente porque son los que yo tengo.

Aspecto físico

Vamos a ver unas fotos para familiarizarnos con ellos y diferenciarlos. Hay que decir que el tamaño del Chameleon Ultra respecto al Chameleon Mini, se ha reducido mucho, apenas mide 4cm además de que Chameleon Ultra está disponible en varios colores (negro, azul y blanco).

Cambios en el hardware y especificaciones técnicas

El Chameleon Mini RevE, se conecta por USB con cable micro-USB. En cambio el Chameleon Ultra ya tiene conector USB-C además de Bluetooth BLE 5.0.

Chameleon Mini solo soporta NFC (13,56Mhz) mientras que Chameleon Ultra además de NFC también soporta RFID de 125Khz.

Chameleon Mini tenía 8 slots para almacenar NFC y Chameleon Ultra tiene 8 slots que son dual frequency. Es decir que en ellos se puede guardar un tag de NFC y uno de RFiD, así que podría decirse que tiene 16 slots de memoria (8hf y 8lf).

La versión Mini se alimenta de una pila CR-2032 mientras que Chameleon Ultra tiene una batería interna de 90mAh que dado el poco consumo que tiene, puede durar hasta varios meses dependiendo del uso que le demos. La pila del RevE dura bastante, todo hay que decirlo, pero es un problema el día que descubres que se ha gastado y justo necesitas el dispositivo por lo que sea, así que digamos que tener batería también es otra ventaja.

Otro de los cambios más importantes es el cambio de los chips. En el de emulación, el Chameleon Mini primigenio usaba el chip ATxmega128A4U, pero luego fue reemplazado por el chip ATxmega32A4U (16MHz, flash 32kb, EEPROM 1kb) que es el que tiene el Chameleon Mini RevE. Sin embargo, el chip que utiliza la versión Ultra del dispositivo es el chip nRF52840. ¿Por qué este cambio? Los desarrolladores argumentan que no solo es un chip más barato, sino que además tiene soporte Bluetooth BLE 5.0, RAM 256kb, 64MHz, consume poquísima energía y tiene muchísimo mejor rendimiento de emulación así como respuesta más rápida dado que en el anterior estaban limitados a la velocidad del reloj del protocolo SPI. Es decir, todo ventajas, y al parecer descubrieron este chip un poco de forma accidental. Muy curioso…

En cuanto al chip de lectura y escritura, el Chameleon Ultra usa el chip MFRC522 que soporta más variedad de tipos de tags que su predecesor.

Resumiremos los features o características de los dispositivos. El Chameleon Mini tiene las siguientes:

Soporte de firmware para el códec ISO14443A (emulación y lectura)
Emulación NFC 13,56 MHz de Mifare Classic 1K/4K, Ultralight/C (UID de 4 y 7 bytes)
Procesador AVR de 8bits (ATxmega32A4U @ 32MHz)
Memoria flash (32Kb) y 4kb de RAM.
Soporte de hardware para modulación de carga ASK y BPSK usando una subportadora
8 slots de tarjetas virtualizadas con un tamaño de hasta 8 Kb por tarjeta en la memoria no volátil
Dos botones programables y LEDs
Firmware open-source y modular para fácil expansión
Peso 31g , Dimensiones 8,6cm x 5,2cm x 0,6cm

Estas son las características del Chameleon Ultra:

Soporte de firmware para el códec ISO14443A (emulación y lectura)

Emulación NFC 13,56 MHz de Mifare Classic 1K/2K/4K, Ultralight/C/EV1, NTAG 210-218, Desfire EV1/2, Mifare Plus
Emulación RfID 125 KHz de EM4xx, T5577, FDX-B, Paradox, Keri, Indala, HID Prox, PAC/Stanley, AWD, ioProx, Presco, Viking, Noralsy, NexWatch, Jablotron, Gallagher
Soporte para Bluetooth LE (BLE) 5.0
Procesador ARM de 32bits (nRF52840 @ 64 MHz)
Memoria flash (1 Mb) y 256Kb de RAM
Soporte de hardware para modulación de carga ASK y BPSK usando una subportadora
Modo lector con soporte para detección rápida de UID
8 slots (dual frequency) de tarjetas virtualizadas hasta 64Kb por tarjeta en la memoria no volátil
Batería interna LiPo 90mAh
2 Botones programables y LEDs multicolor con efectos RGB dinámicos
Firmware open-source y modular para fácil expansión
Peso 8g, Dimensiones 4cm x 2,4cm x 0,6cm

Pero lo que hace realmente atractivo al Chameleon Ultra respecto al otro, es que ya no es “una caja tonta que transporta y emula tags” como podíamos pensar de la antigua versión. En esta versión además de transportar y emular tags, también podemos leer tags, realizar ataques, usar diccionarios y clonar. Es decir, esto ya se va pareciendo a una Proxmark más que a sus Chameleon predecesores. Y no solo leer tags, también podemos modificarlos escribiendo en ellos. Como veis, nada que ver con el Chameleon Mini, es mucho más potente y versátil.

Igual el meme es exagerar, ya que la Proxmark es muy versátil y realiza tareas que Chameleon no puede hacer, pero Chameleon Ultra sí que es capaz de hacer muchas de las tareas y sobre todo de una forma muy sencilla con una interfaz intuitiva y simple.

Por supuesto, también se puede usar solamente como “caja tonta que transporta y emula tags”. Aunque no olvidemos que esta caja tonta, en esta versión, es capaz de transportar muchos más tipos y tiene más slots. Pero la diferencia es que antes tenías que clonar con la proxmark, guardar un dump del tag, y luego grabarlo en el Chameleon con el software, y ahora directamente con el Chameleon Ultra puedes leer, atacar si es preciso porque no se leyeran todos los sectores directamente y clonar. Se ahorran muchos pasos y se simplifica el proceso ganando tiempo en definitiva.

Ataques soportados

Actualmente Chameleon Ultra soporta diferentes ataques cuando leemos un tag y no somos capaces de leer completamente todos sus sectores. Además de ataques de diccionario, soporta MFKEY32, Darkside, Nested y StaticNested. Si queréis más info sobre estos ataques os remitiré a otro artículo escrito aquí en Hackplayers por mí hace tiempo:

https://www.hackplayers.com/2021/11/hacking-nfc.html

Lo que aún no está soportado es el ataque HardNested y el Relay attack. Pero es cuestión de tiempo puesto que el hardware tiene la capacidad de soportarlo y el equipo de desarrollo lo tiene en su lista de tareas pendientes.

Lo que sí nos anticipan es que no soportará sniffing como la proxmark en high frequency (NFC), sin embargo, sí que soporta sniffing en low frequency a pesar de que tampoco está desarrollado aún. Como vemos, aún queda camino por recorrer…

Software

Hay varios softwares diferentes. Existe una consola al puro estilo CLI (Command Line Interface) para usuarios avanzados, pero con el software que ofrece una GUI (Graphical User Interface) es suficiente para la mayoría de los mortales entre los que me encuentro yo mismo, así que es sobre el que hablaremos. Más tarde hablaremos de las apps para móviles.

El software es parecido al del antiguo Chameleon solo que con otro aspecto, más bonito y moderno y con más funcionalidades, pero la ventana donde se administra lo que tiene en memoria los slots tiene un poco la misma filosofía. Este era el antiguo GUI para Chameleon Mini en la versión de Iceman:

Este es el aspecto del nuevo software:

Como hemos mencionado anteriormente, podremos realizar lecturas directamente desde el Chameleon Ultra y o bien salvar solo el UID (ya sabemos que muchos sistemas poco seguros de NFC solo tienen en cuenta el UID para funcionar), o bien salvarlo completamente, pero para eso tenemos que poder leerlo al 100% y si nos topamos con un tag que no podemos leer, nos encontraremos con una pantalla como esta:

Pero sobre la marcha podremos lanzar diferentes ataques. En este caso seleccionaremos simplemente un diccionario y este será el resultado de aplicarlo:

Como vemos ha podido leer todo, así que ya podríamos clonar el tag. Si aún faltase algún sector por leer, el Chameleon Ultra lanzaría automáticamente diferentes ataques para intentar obtener lo que falta, una maravilla. Por lo tanto, lo salvamos:

Ahora ya nos aparecerá en la sección de Saved Cards junto a otras que tengamos.

Y podemos escribirlo en uno de los slots de memoria si queremos:

Además, permite importación y exportación de tags en formatos de ficheros .bin y .json (de proxmark3), .nfc (de Flipper Zero) y .mfct (de Mifare Classic Tool).

En el apartado de device settings, además de otras opciones, los botones se siguen pudiendo programar como en el Chameleon Mini, para que una pulsación haga una acción y una pulsación larga pueda hacer otra acción distinta:

También hemos comentado antes que además de escribir en los slots de memoria, también se puede escribir en un tag (siempre que el tag soporte la escritura que le hagamos).

Si tenemos dudas acerca de qué tipo de tarjeta reescribible tenemos, podemos usar el “Auto-detect Magic card type” para que haga detección automática del tipo:

Como veis, todos los procesos son bien sencillos.

Con esto ya hemos contado así a grandes rasgos su funcionalidad. No obstante, os invito a que juguéis con él pues es muy divertido y ha parecido un muy buen avance en la evolución de la familia Chameleon. Si tenéis tiempo y curiosidad, hay un vídeo en inglés que explica minuciosamente todos y cada uno de los apartados y los campos del software. Os dejo el enlace por si a alguien le interesa:

https://www.youtube.com/watch?v=9jtKNJ5-kVY

Software para móviles

Otra de las ventajas de estos juguetes son sus versiones de software para aplicaciones móviles que dan mucho juego. Nos otorgan movilidad y si estamos en alguna “misión” (siempre oficial, éticamente, con permisos y todo eso que ya sabéis), también nos da algo de discreción para poder manipular el dispositivo simplemente teniendo el móvil en la mano, algo socialmente aceptado y discreto. Ya se sabe que si sacas un portátil, unos cables y un dispositivo “raro”, la gente te puede mirar mal o preguntarse qué estás haciendo. Esto hace que las versiones móviles sean muy útiles en este sentido.

Chameleon Mini RevE nunca tuvo una app oficial como tal, pero hubo un par de apps desarrolladas por gente de la comunidad. Destacaré una que otorga una funcionalidad muy parecida al software de pc de escritorio del GUI de Iceman. Es esta app de Android de este repositorio de GitHub:

https://github.com/kgamecarter/ChameleonMiniApp

En el repositorio sin embargo no está el apk compilado. Antes estaba disponible en el Play Store de Google, pero lamentablemente ya desapareció de allí, así que os he preparado un enlace al apk de la app compilada (ya se lo que estáis pensando y no… no tiene bicho, me he portado bien):

https://mega.nz/file/wJJ0GCzJ#gZTYkAJBciT_AuofHat4QMqBsCPHxvuiLURfAd4dNBY

Para utilizarla, tendréis que conectar vuestro Chameleon Mini RevE al móvil con un cable OTG (On The Go) al puerto micro-USB del Chameleon Mini.

La app tiene este aspecto:

También está en Youtube este vídeo de unos 20 segundos que hizo el propio autor de la app con el que os podéis hacer una idea sobre la misma:

https://www.youtube.com/watch?v=WoU58GzxsAY

En lo que respecta al Chameleon Ultra, por suerte sí que tiene una app oficial. Está disponible en Google Play Store donde podéis descargarla:

https://play.google.com/store/apps/details?id=io.chameleon.ultra

También tiene versión de iOS para dispositivos Apple:

https://apps.apple.com/ve/app/chameleon-ultra-gui/id6462919364

La app para móvil del Chameleon Ultra ofrece la misma funcionalidad que la app de escritorio, así que en mi opinión es una auténtica maravilla. Esto hace que siendo el dispositivo tan pequeño y conectándose por Bluetooth, en cualquier sitio podamos operar al 100% aprovechando toda su capacidad. El emparejamiento por Bluetooth es un juego de niños y la app nos permite elegir el PIN que queramos para que podamos conectar de forma segura.

También reseñar que aunque lo normal es conectar la app por Bluetooth, es posible conectarse con un cable OTG igual que hacíamos con el Chameleon Mini, aunque esta vez tendrá que ser USB-C. La app también funcionará perfectamente.

Este es el aspecto de la aplicación en el móvil:

Actualización de firmware

Para actualizar el firmware, en el Chameleon Mini, era un poco más complejo. Por no repetirlo, pondré el enlace como referencia de un artículo que escribí hace tiempo donde se describía, entre otras cosas, el proceso de actualización del firmware del Chameleon Mini RevE:

https://www.hackplayers.com/2021/07/nfc-proxmark3-chameleon.html

En el Chameleon Ultra, no puede ser más fácil actualizar el firmware. Hay varios métodos pero sin duda el más sencillo es simplemente abrir la aplicación GUI y darle al botón mágico que está al lado de la versión de firmware. Este botón hará todo el trabajo. Así de fácil. Él solito se encarga de poner el modo DFU (Device Firmware Update), descargarse la última versión, flashearlo, etc.

¿Dónde comprarlo?

Se puede adquirir en diferentes lugares como la tienda Lab401, Hackerwarehouse, o incluso Amazon, pero en mi experiencia sale más barato comprarlo en Aliexpress. Eso sí, hay que discernir entre el original y las imitaciones.

En este enlace encontré una comparativa del “Chameleon Ultra” y el “Chamele0n Ultra” (nótese que la “o” es un cero “0” en la imitación). Ahí comparan los componentes físicos y diferencias. Un artículo muy interesante:

https://shop.mtoolstec.com/whatre-the-differences-between-chameleon-ultra-chamele0n-ultra.html

La verdad es que leyendo el artículo, parece que la imitación no difiere mucho respecto al original. Solo en pequeños detalles. Pero como no he tenido la experiencia personal de probar la imitación, yo recomiendo comprar el original. No obstante, es muy probable que funcione también bien la imitación, aunque no os lo puedo asegurar en este momento. Aquí os dejo un par de enlaces de Aliexpress a buen precio de los Chameleon originales que tengo yo.

Chameleon Mini RevE original:

https://s.click.aliexpress.com/e/_opkB6kH

Chameleon Ultra original:

https://s.click.aliexpress.com/e/_oCTviIv

Los precios actualmente en 2025 rondan los 35€ para el Mini y los 120€ para el Ultra (los originales). No obstante, estos siempre oscilan ligeramente (es el mercado amigo!). En las páginas como Lab401 u otras similares es algo más caro. El de imitación en cambio, ronda los 20 o 25€. También os dejo un enlace.

Chamele0n Ultra de imitación:

https://s.click.aliexpress.com/e/_ooCcTAl

Agradecimientos especiales

Gracias a los de siempre. Hackplayers que se lo curra, a los developers del mundo del NFC/RFiD incluyendo a Iceman (@herrmann1001), Gator96100 (@Gator96100), kgamecarter y tantos otros. Gracias a L1k0rd3b3ll0t4 por el apoyo y por comprarse todos como locos el cacharrito a partir de un simple comentario. Al Spanish pentesting crew por seguir con las J0n3C0n, a mi pareja sin la cual yo no podría “perder” tanto tiempo en los researchings, etc.

Enlaces de interés