La adopción de los pagos sin contacto, impulsada por la tecnología Near Field Communication (NFC), ha transformado la experiencia de compra a nivel global. La rapidez y conveniencia de esta modalidad han incrementado su popularidad, pero también han abierto la puerta a nuevas amenazas.
Se observa una creciente tendencia de fraudes sofisticados que permiten a los delincuentes sustraer fondos sin que las víctimas sean conscientes del robo.
El denominado NFC relay attack representa una de las técnicas de fraude digital más avanzadas relacionadas con los pagos sin contacto. Este método consiste en interceptar y retransmitir la comunicación entre una tarjeta o dispositivo de pago y el terminal de punto de venta, sin la intervención o conocimiento del titular de la cuenta.
Según expertos de Cleafy, una empresa especializada en ciberseguridad, el ataque puede activarse con una simple proximidad física. Un delincuente podría utilizar un lector NFC oculto para capturar la señal de una tarjeta en el bolsillo de una persona en un establecimiento, y enviar esa información en tiempo real a un cómplice ubicado frente a un comercio, donde se realizaría una compra fraudulenta.
La transacción se considera legítima por el sistema, ya que técnicamente se utiliza la información auténtica de la tarjeta. El usuario solo detecta el fraude al observar un cargo desconocido en su resumen bancario, sin tener evidencia de robo físico ni alertas inmediatas.
La sofisticación de este tipo de fraude digital quedó patente con el caso de SuperCard X, una campaña de malware investigada por el equipo de inteligencia de amenazas de Cleafy. Se distribuye como un servicio de malware para dispositivos Android, diseñado específicamente para ejecutar ataques de retransmisión NFC.
Este software malicioso permite retiros fraudulentos en cajeros automáticos y pagos en puntos de venta mediante la manipulación del dispositivo infectado.
La amenaza se propaga a través de técnicas de ingeniería social, como mensajes falsos y llamadas fraudulentas. Una vez instalado, el malware requiere permisos mínimos, lo que dificulta su detección por los sistemas de seguridad convencionales. El malware utiliza el teléfono de la víctima como intermediario para retransmitir los datos de la tarjeta, sin generar sospechas ni alertas visibles.
Para las entidades bancarias, las consecuencias de estos ataques incluyen un aumento en los reembolsos por fraude y una mayor presión sobre los recursos destinados a la investigación. La pérdida de confianza de los clientes representa un perjuicio más profundo y duradero que las pérdidas financieras inmediatas.
Para los consumidores, la naturaleza discreta de estos fraudes, que no implican el robo físico de la tarjeta ni señales evidentes, genera una sensación de vulnerabilidad. La aparición de cargos no reconocidos en sus cuentas socava la confianza en la seguridad de los pagos sin contacto y en el sistema financiero en general.
La empresa de ciberseguridad subraya la necesidad de adoptar estrategias de prevención más proactivas, transitando hacia un modelo de detección temprana, capaz de identificar aplicaciones sospechosas desde el momento de su instalación, en lugar de depender únicamente de la detección durante su uso.
Entre las medidas recomendadas se destacan:
- Análisis de integridad de dispositivos y aplicaciones: determinar si una aplicación solicita permisos de NFC y evaluar su legitimidad.
- Predicción de comportamiento del usuario: observar la frecuencia y los patrones de uso asociados a un dispositivo o cuenta.
- Monitoreo en tiempo real: analizar el comportamiento del dispositivo, como cambios de estado durante operaciones sensibles.
- Análisis de riesgo en las transacciones: verificar la coherencia entre ubicaciones, horarios y beneficiarios.
- Intercambio de inteligencia sobre amenazas: compartir indicadores de campañas activas para anticipar ataques.
Los expertos recomiendan a los usuarios descargar aplicaciones únicamente de tiendas oficiales, revisar cuidadosamente los permisos solicitados y mantener actualizado el sistema operativo del dispositivo. Asimismo, aconsejan activar sistemas de autenticación biométrica en cada transacción y reportar cualquier actividad sospechosa a su banco de forma inmediata.
La evolución de los pagos sin contacto exige a las instituciones y a los usuarios fortalecer los mecanismos de defensa y mantenerse informados sobre las nuevas tácticas de fraude. El principal desafío reside en anticipar los movimientos de los ciberdelincuentes y evitar que la comodidad de la tecnología se convierta en un riesgo latente.
