Una reciente investigación de Kaspersky reveló una sofisticada modalidad de fraude digital conocida como “Toque Fantasma”, capaz de vulnerar los pagos por proximidad, es decir, aquellas transacciones sin contacto que se realizan al acercar la tarjeta o el celular a un lector de pago.
Lo más preocupante de este método es la rapidez con la que actúan los delincuentes. En apenas unos segundos, utilizan aplicaciones para interceptar el token o código único que se genera durante la operación y retransmitirlo a otro dispositivo, desde donde completan la compra fraudulenta como si fueran el titular de la tarjeta.
De acuerdo con Kaspersky, Brasil encabeza la lista de los países más afectados, concentrando cerca del 47 % de los intentos de fraude detectados a nivel mundial, seguido por India, China y España. El hallazgo adquiere relevancia en América Latina, donde el uso de los pagos sin contacto se ha vuelto parte del día a día para millones de usuarios.
¿Cómo opera este fraude?
El “Toque Fantasma” funciona de dos maneras: presencial y remota, ambas igual de ingeniosas y peligrosas. Según Kaspersky, los delincuentes se aprovechan de la rapidez del sistema NFC (Near Field Communication) -la tecnología que permite los pagos sin contacto- para actuar sin ser detectados.
En la modalidad presencial, el robo puede ocurrir en cualquier lugar concurrido, como una fila, un concierto o una cafetería. Usando dos celulares sincronizados, uno de los delincuentes se acerca lo suficiente a la víctima para capturar el token del pago sin contacto, incluso si la persona tiene el celular sobre la mesa o la tarjeta en un bolso. Ese código es enviado en tiempo real a otro dispositivo, que se aproxima de inmediato a un datáfono y finaliza la compra fraudulenta. El resultado es inquietante: la víctima pierde dinero sin haber sido hackeada y, en la mayoría de los casos, sin notar que algo ocurrió.
Por su parte, la versión remota del fraude comienza con ingeniería social, la técnica clásica de engaño que sigue siendo efectiva. En este caso, un supuesto empleado del banco o de la entidad emisora de la tarjeta llama a la víctima y le pide instalar una aplicación falsa “para verificar la seguridad” de su tarjeta. Dentro de esa app, se le solicita acercar la tarjeta física al celular, momento en el que se ejecuta el robo.
La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite al celular del delincuente, quien solo debe acercar su celular a un datáfono para completar la transacción. Es un fraude rápido y de una sola oportunidad, ya que el token expira en segundos y no puede reutilizarse. Según Kaspersky, afecta principalmente a usuarios de Android, por la posibilidad de instalar aplicaciones fuera de las tiendas oficiales.
El investigador de seguridad Anderson Leite, de Kaspersky, explica que este caso demuestra cómo los delincuentes logran explotar las reglas del sistema sin necesidad de vulnerarlo directamente. “A pesar de las capas de seguridad, la creatividad de los atacantes permitió interceptar y reenviar datos de tarjetas, transformando la conveniencia en un riesgo real para los consumidores”, señaló.
La investigación también identificó canales de Telegram donde circulan tutoriales y videos que enseñan a configurar estas aplicaciones. En uno de ellos, por ejemplo, se observa una transacción completada con una tarjeta brasileña, interfaz en portugués y narración en inglés, evidencia de que el objetivo es alcanzar un público global. Aunque se promocionan como herramientas para “pagos a distancia”, en la práctica son utilizadas para fraudes.
Le puede interesar: Ethernet: ¿qué es y cómo puede mejorar la conexión a internet?
Recomendaciones para protegerse del “Toque Fantasma”
Aunque el fraude del “Toque Fantasma” demuestra hasta dónde puede llegar la creatividad de los ciberdelincuentes, también es cierto que hay formas sencillas de reducir el riesgo y mantener a salvo las transacciones sin contacto. Los expertos de Kaspersky sugieren una serie de medidas tanto físicas como digitales para reforzar la seguridad.
- Use protección física para sus tarjetas: una buena práctica es guardar las tarjetas en billeteras o portatarjetas con bloqueo NFC. Este tipo de accesorios evita que alguien pueda leer o copiar la señal de la tarjeta a distancia, algo especialmente útil en lugares muy concurridos.
- Supervise sus movimientos financieros: revise con frecuencia los extractos bancarios y notificaciones de pago. Cualquier cargo no reconocido, por pequeño que parezca, podría ser una señal temprana de fraude.
- Descargue aplicaciones solo de fuentes oficiales: Para evitar caer en el fraude remoto, instale apps únicamente desde las tiendas oficiales (Google Play o App Store). Antes de hacerlo, verifique el nombre del desarrollador y las opiniones de otros usuarios, las aplicaciones falsas suelen tener descripciones confusas o reseñas negativas.
- Utilice una solución de seguridad confiable: contar con un software de protección actualizado puede marcar la diferencia. Estas herramientas detectan y bloquean aplicaciones maliciosas que intentan aprovecharse de la tecnología NFC o de permisos indebidos en el dispositivo.
👽👽👽 ¿Ya está enterado de las últimas noticias de Tecnología? Lo invitamos a visitar nuestra sección en El Espectador.