Kaspersky reveló en una reciente investigación una nueva y sofisticada modalidad de fraude llamada “Toque Fantasma”, que logra engañar a los pagos por proximidad, es decir, las transacciones sin contacto que se hacen al acercar la tarjeta o el celular a una terminal. En cuestión de segundos, los delincuentes utilizan aplicaciones maliciosas para interceptar el token o código único de la operación y retransmitirlo a otro teléfono, que completa la compra fraudulenta como si fuera la tarjeta original de la víctima.
Brasil sobresale de forma negativa en este panorama, al concentrar casi la mitad (47%) de los bloqueos de intentos de este fraude a nivel global, seguido por India, China y España. Esta investigación resulta especialmente importante en América Latina, donde prácticamente todos los usuarios de tarjetas bancarias pueden realizar pagos sin contacto.
Aunque el pago por proximidad es seguro porque genera un token único que expira en segundos, la investigación de Kaspersky reveló que los ciberdelincuentes encontraron la manera de explotar la tecnología para cometer fraudes. La nueva estafa funciona de dos formas:
· Presencial: usando dos celulares de los criminales para capturar y retransmitir los datos del pago en tiempo real.
· Remoto: mediante ingeniería social (la famosa central falsa del banco o empresa de tarjeta) que hace que la víctima instale la aplicación fraudulenta para robar los datos de la tarjeta.
¿Cómo funciona el fraude?
Presencial: En el fraude presencial, los delincuentes aprovechan la rapidez del NFC para actuar sin ser notados en lugares concurridos. Usando dos celulares, uno de los criminales se acerca lo suficiente a la víctima —en una fila, concierto o incluso cuando el celular está sobre una mesa en un café— para robar el token del pago por proximidad. Ese código es enviado en tiempo real a un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para finalizar la compra fraudulenta. El resultado: la víctima pierde dinero sin ser infectada y, en la mayoría de los casos, sin percatarse de lo ocurrido.
Remoto: En esta modalidad, el fraude comienza con ingeniería social: un criminal llama a la víctima haciéndose pasar por un empleado del banco o de la compañía emisora de la tarjeta y la convence de instalar una aplicación falsa para “validar” la tarjeta. Dentro de la app, se le pide a la víctima acercar su tarjeta física al celular y, en ese instante, ocurre la estafa.
La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono del delincuente. Con ese token activo, el criminal solo debe acercar su celular a una terminal para concluir la compra. La estafa suele ser única por víctima, ya que el token expira en segundos y no puede reutilizarse. Actualmente, el ataque afecta principalmente a usuarios de Android, que permite la instalación de apps fuera de tiendas oficiales.
“Esta estafa demuestra cómo los criminales saben bien cómo explotar las reglas del juego al crear un fraude sin necesidad de ‘hackear el sistema’. Nuestro análisis muestra que, aún con las capas de seguridad existentes, la creatividad de los atacantes permitió interceptar y reenviar datos de tarjetas, transformando la conveniencia en un riesgo real para los consumidores”, explica Anderson Leite, investigador de Seguridad en Kaspersky.
En canales de Telegram circulan tutoriales y videos que muestran cómo configurar y usar estas aplicaciones. Por ejemplo, la investigación halló un video de una transacción completada en una terminal con una tarjeta brasileña, con interfaz en portugués y narración en inglés, buscando llegar a un público global. Aunque presentados como soluciones para “pagos a distancia”, estos aplicativos son usados en la práctica para fraudes.
Para evitar ataques de retransmisión NFC, los expertos de Kaspersky recomiendan:
· Contar con protección física: Use billeteras o portatarjetas que bloqueen la comunicación NFC, evitando que delincuentes lean los datos a distancia.
· Monitoree sus transacciones: Revise cualquier movimiento sospechoso en sus cuentas y facturas.
Para evitar el fraude remoto, los especialistas aconsejan:
· Tener precaución al instalar apps: Descargue aplicaciones solo de tiendas oficiales y verifique la reputación del desarrollador.
· Usar una solución de seguridad confiable: Esta le permitirá detectar y bloquear aplicaciones maliciosas que intentan explotar la tecnología NFC.
