Un nuevo fraude electrónico pone en riesgo a celulares con pagos sin contacto
Especialistas en ciberseguridad advierten sobre una técnica que permite concretar transacciones a distancia sin que la víctima entregue su teléfono ni su tarjeta. El método aprovecha funciones legítimas del sistema NFC y se potencia con apps maliciosas instaladas en el dispositivo.
El avance de las billeteras virtuales y los pagos sin contacto con tecnología NFC aportó mayor comodidad a los usuarios, pero también abrió la puerta a nuevas modalidades de fraude digital. En ese escenario, comenzó a ganar terreno el llamado “Relay Attack” o ataque de retransmisión NFC.
La técnica permite realizar pagos sin que el usuario advierta el robo y sin necesidad de clonar la tarjeta. Facundo Balmaceda, especialista en ciberseguridad de Sonda Argentina, explicó que se trata de una maniobra que aprovecha funciones legítimas del sistema.
“El atacante utiliza un celular para captar la señal de tu tarjeta o teléfono cuando estás a sólo 5 o 10 centímetros de distancia. Esa información se envía por internet a otro dispositivo que está frente a un lector de pago en cualquier parte del mundo. El sistema cree que la tarjeta está ahí y la transacción se completa”, detalló Balmaceda.
Cómo opera el “Relay Attack”
En este esquema, el delincuente no vulnera directamente al banco ni rompe la seguridad del chip NFC. Lo que hace es crear un “puente digital” que retransmite la señal en tiempo real hacia otro dispositivo que simula estar físicamente frente al posnet.
El riesgo aumenta en lugares concurridos, donde la cercanía física facilita la captura de la señal sin que la víctima lo note. En cuestión de segundos, la operación puede quedar aprobada como si el usuario estuviera presente.
Con billeteras virtuales y tarjetas contactless en expansión, este tipo de ataque comienza a figurar entre las principales alertas dentro del ecosistema financiero digital.
El rol de las apps maliciosas en Android
Desde Sonda Argentina advierten que el punto débil no es el hardware NFC, sino el uso que se le da al dispositivo. Muchas veces el problema comienza con la instalación de aplicaciones fraudulentas.
“Los atacantes desarrollan aplicaciones que se camuflan como herramientas inofensivas. Cuando el usuario instala una app de linterna o calculadora que pide permisos de NFC o accesibilidad, le entrega las llaves de su billetera al delincuente”, señaló el especialista.
Herramientas como NFCGate, creadas originalmente con fines académicos, hoy pueden utilizarse para facilitar este tipo de fraude. Funcionan sobre las APIs disponibles en Android y requieren que el usuario haya otorgado permisos sensibles.
Estudios citados por la firma indican que, de 900 aplicaciones de linterna analizadas, la mayoría solicitaba más de 25 permisos innecesarios.
Responsabilidades y cómo reducir el riesgo
Uno de los debates actuales gira en torno a quién responde ante una transacción no autorizada. Según Balmaceda, si el usuario no dio un consentimiento real, debería considerarse una operación fraudulenta. “Culpar al cliente por ataques tan sofisticados no es sostenible legalmente”, afirmó.
Las entidades financieras, en cambio, suelen argumentar que la instalación de aplicaciones fraudulentas facilita el ataque y que el usuario tiene responsabilidad en el cuidado del dispositivo.
El especialista sostiene que desactivar el NFC no es una solución definitiva. “Necesitamos autenticación contextual: sistemas que detecten incoherencias, como un celular en una ubicación y un pago en otra, o latencias anómalas en la señal. Además, la biometría debería ser obligatoria en cada transacción”, explicó.
También recomendó descargar aplicaciones solo desde tiendas oficiales, revisar los permisos antes de instalar y mantener el sistema operativo actualizado.
+ INFO: Nueva modalidad de estafa: se hacen pasar por Temu para robar datos bancarios
