// OPERACIÓN: Captura de transmisiones OOK en banda ISM
// Uso de TinySA ultra
// Categoría: RF
Muchos dispositivos inalámbricos de uso cotidiano (mandos de garaje, sensores de temperatura, llaves de coche, TPMS) emiten transmisiones extremadamente cortas en la banda ISM utilizando modulacion OOK (On-Off Keying).
Estas rafagas son tan breves que resultan invisibles en un barrido de espectro convencional.
En este post se documenta como utilizar la funcion de Trigger de mi tinySA Ultra para capturar, visualizar y medir estas senales paso a paso.
DISCLAMER
Este procedimiento se realiza exclusivamente con fines educativos y de investigacion. La interceptacion o retransmision de senales de radiofrecuencia ajenas puede constituir una infraccion legal segun la legislacion de cada pais. Operar unicamente con dispositivos propios.
0x00 - Requisitos previos
| Elemento | Detalle |
|---|---|
| Analizador | tinySA Ultra hasta 5.4Ghz |
| Antena | Telescopica incluida (puerto RF) |
| Transmisor objetivo | Cualquier dispositivo OOK en banda ISM (433.92 MHz) |
| Banda de trabajo | ~428 MHz - 438 MHz (span 10 MHz centrado en 433 MHz) |
0x01 - Busqueda inicial del transmisor
El primer objetivo es localizar la frecuencia exacta de emisión del dispositivo.
La mayoria de transmisores ISM operan en 433.92 MHz, pero algunos pueden desviarse ligeramente.
Configuración de frecuencia
MENU > FREQ > CENTER > 433 M
// Establecer un ancho de barrido de 10 MHz
MENU > FREQ > SPAN > 10 M
Configuración del Trigger
La senal OOK es demasiado breve para ser visible en un barrido continuo.
La funcion de Trigger congela la pantalla automáticamente cuando se detecta un pico por encima del umbral definido.
MENU > DISPLAY > TRIGGER > TRIGGER MENU > TRIGGER LEVEL > -70 dBm
// Activar modo Normal (disparo continuo)
MENU > DISPLAY > TRIGGER > NORMAL
NOTA: El valor de -70 dBm es orientativo.
Si el transmisor esta muy cerca, subir el umbral (ej: -50 dBm) para evitar falsos disparos. Si esta lejos, bajarlo (ej: -80 dBm).
En el panel de estado aparecera ARMED.
El equipo esta ahora a la espera. Al pulsar el boton del mando o activar el sensor, el pico de la señal aparecerá en pantalla.
0x02 - Cambio a Zero Span (modo osciloscopio)
Una vez identificada la frecuencia exacta del transmisor con el marcador, se configura el analizador en modo Zero Span.
En este modo el eje horizontal deja de representar frecuencia y pasa a representar tiempo, convirtiendo el tinySA en un osciloscopio basico de RF.
MENU > FREQ > CENTER > [frecuencia exacta, ej: 433.92 M]
// Activar Zero Span
MENU > FREQ > ZERO SPAN
0x03 - Captura de la rafaga completa (Single Trigger)
Se configura un disparo unico (SINGLE) para congelar la pantalla tras capturar una sola transmisión completa.
El tiempo de barrido se establece en 100 ms para asegurar que cabe toda la rafaga.
MENU > SWEEP > SWEEP TIME > 100 ms
// Activar disparo unico
MENU > DISPLAY > TRIGGER > SINGLE
El estado pasara a ARMED. Al pulsar el mando, el tinySA captura la senal y el estado cambiará a PAUSED, dejando la gráfica congelada para su análisis.
0x04 - Ajuste fino: resolución de bits
Con 100 ms de ventana los pulsos individuales pueden aparecer comprimidos.
Reduciendo el tiempo de barrido a 30 ms se amplia la resolución temporal y cada bit se muestra como un rectangulo mas ancho y legible.
MENU > SWEEP > SWEEP TIME > 30 ms
// Re-armar disparo unico
MENU > DISPLAY > TRIGGER > SINGLE
// Pulsar el mando nuevamente para capturar
0x05 - Medición del bit timing con marcadores
Para medir la duración exacta de cada bit se utilizan los marcadores en modo delta.
Se coloca el marcador 1 al inicio de un pulso y se activa la medición delta hasta el final del mismo.
MENU > MARKER > MARKER 1 > [girar rueda hasta inicio del pulso]
// Activar modo delta para medir diferencia temporal
MENU > MARKER > DELTA > [girar rueda hasta final del pulso]
La lectura delta mostrará la duración del bit.
Un valor típico para transmisores OOK de 433 MHz es de aproximadamente 1.25 ms por bit, lo que corresponde a una tasa de 800 bps.
0x06 - Resumen de parámetros
| Paso | Parametro | Valor |
|---|---|---|
| Busqueda | Center / Span | 433 MHz / 10 MHz |
| Trigger | Level / Modo | -70 dBm / NORMAL |
| Captura completa | Sweep Time / Trigger | 100 ms / SINGLE |
| Detalle de bits | Sweep Time / Trigger | 30 ms / SINGLE |
| Medición | Marker Delta | ~1.25 ms/bit (800 bps) |
0x07 - Notas
- La modulación OOK es la mas básica dentro de ASK (Amplitude Shift Keying).
- El transmisor simplemente enciende y apaga la portadora para representar 1 y 0.
- Esto la hace vulnerable a ataques de replay si no se implementa rolling code.
- Una vez obtenido el bit timing y la frecuencia exacta, la senal puede decodificarse con herramientas como rtl_433 o Universal Radio Hacker (URH) para un análisis más profundo del protocolo, usando un RTL SDR.
- Algunos dispositivos pueden usar frecuencias alternativas dentro de la banda ISM: 315 MHz (común en Norteamerica), 868 MHz (Europa) o 915 MHz. Ajustar la frecuencia central en consecuencia.
[EOF] "The truth is out there"