El NFC ha traído comodidad, pero también nuevas formas de estafa. Recientemente, el equipo de ESET ha detectado una operación que no necesita robar físicamente una tarjeta para vaciar una cuenta; afecta principalmente a Brasil y podría expandirse a América Latina.

Siempre que vaya a retirar en cajero un cajero automático, expertos recomiendan hacer esto para no ser víctima de estafa

Esta amenaza, vinculada a la familia de malware NGate, ha evolucionado para interceptar transacciones financieras en tiempo real, permitiendo a los atacantes realizar retiros de efectivo sin que la víctima se dé cuenta de que su información ha sido duplicada.

La mutación de herramientas legítimas en armas digitales

Todo comienza con una mentira que induce a instalar una aplicación fuera de la tienda oficial de Google Play, llamada HandyPay. Los atacantes toman la aplicación legítima y la “troyanizan” o “parchean”.

El fraude inicia con un engaño que invita a descargar una app falsa fuera de Google Play. Foto: Getty Images

Para realizar los ataques, usan dos ganchos principales:

  1. Sitios de lotería falsos: crean páginas que imitan a loterías reales donde te dicen que has ganado un premio y que debes descargar una app para cobrarlo.
  2. Seguridad falsa: convencen de instalar una supuesta herramienta de “Protección de Tarjeta” para evitar fraudes, cuando en realidad la app es el fraude mismo.
En lugar de contestar llamadas de números desconocidos, haga esto apenas suene el celular para evitar ser estafado

La “clonación” digital en el celular

Una vez se instala la aplicación (que es una versión modificada de una app real llamada HandyPay), el robo sucede así:

  • Captura del PIN: la aplicación pide que ingrese el número PIN de la tarjeta de débito o crédito. En ese momento, el malware ya tiene la clave secreta y la envía a los servidores del atacante.
  • Escaneo NFC: luego, la app pide que acerques su tarjeta física a la parte trasera del celular. Al hacerlo, el malware lee la información del chip inalámbrico (NFC) de la tarjeta.
  • Retransmisión invisible: en lugar de guardar los datos en el celular, la aplicación los envía en tiempo real por internet al celular del delincuente.

El robo del dinero (El uso de los datos)

Esta es la parte más sorprendente: el delincuente no necesita tener su tarjeta física.

Lo más llamativo es que el delincuente no necesita la tarjeta física para retirar dinero. Foto: Getty Images

El atacante en el cajero: mientras tenga su tarjeta en la mano pensando que está validando un premio, el atacante está frente a un cajero automático con su propio teléfono.

Uso del teléfono como tarjeta: el teléfono del atacante recibe los datos de su tarjeta que el malware le está enviando y “engaña” al cajero o al terminal de pago.

Retiro de efectivo: como el atacante también ya recibió el PIN que escribiste antes, puede sacar dinero en efectivo de un cajero sin contacto o realizar compras como si hubiera clonado la tarjeta de forma inalámbrica.

Aunque el epicentro de esta actividad se encuentra actualmente en Brasil, los expertos advierten que la técnica tiene un alto potencial de replicarse en otros países de la región debido a la similitud de los sistemas bancarios.

Para mantenerse a salvo, es fundamental recordar que estas versiones maliciosas nunca han estado en las tiendas oficiales de Android o Apple.