Cuidado con el fraude en el pago sin contacto

La tecnología NFC ha dado paso al “toque fantasma”, una modalidad de fraude que permite realizar cargos pequeños no autorizados al interceptar el token generado en transacciones por proximidad. Especialistas explican que puede operar de forma presencial, con dispositivos que captan y retransmiten el código en tiempo real, o remota, mediante ingeniería social y aplicaciones falsas

Redacción Más

La facilidad de pagar con solo acercar la tarjeta o el celular a una terminal ha traído consigo una nueva modalidad de fraude conocida como “toque fantasma”, un mecanismo que aprovecha la tecnología sin contacto para realizar cargos no autorizados sin que la víctima lo note de inmediato.

De acuerdo con información publicada por Animal Político, el crecimiento de los pagos sin contacto –también llamados NFC o contactless– abrió la puerta a este tipo de engaños.

“El ‘toque fantasma’ surge a raíz del crecimiento de los pagos sin contacto. Ya no debes introducir tu tarjeta en un dispositivo, basta con acercarla a un lector; pero este tipo de fraude justo aprovecha esa tecnología sin contacto”, explicó Raúl León, especialista en ciberseguridad, en entrevista con El Sabueso.

La tecnología NFC, siglas de Near Field Communication, permite transmitir datos de forma inalámbrica a corta distancia mediante ondas de radio de baja potencia. Basta con acercar la tarjeta o el teléfono a unos centímetros de la terminal para que se procese la compra. “No solamente los dispositivos móviles contienen esta tecnología NFC, también las tarjetas físicas de crédito”, detalló Mario Micucci, investigador de seguridad informática de ESET.

Especialistas advierten que el “toque fantasma” puede operar de forma presencial o remota. En el primer caso, delincuentes utilizan dos celulares: uno se aproxima a la víctima en lugares concurridos –como filas, conciertos o cafeterías– para captar el token o código único generado por el pago sin contacto, y el otro lo retransmite en tiempo real a una terminal para completar la transacción.

Según Kaspersky, usando dos celulares, uno de los criminales se acerca lo suficiente a la víctima, en una fila, concierto o incluso cuando el celular está sobre una mesa en un café, para robar el token del pago por proximidad. Ese código es enviado en tiempo real a un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para finalizar la compra fraudulenta. El resultado: la víctima pierde dinero.

En la modalidad remota, el fraude inicia con ingeniería social. Los delincuentes se hacen pasar por empleados del banco y convencen a la víctima de instalar una aplicación falsa para “validar” su tarjeta. Luego le piden acercar el plástico al teléfono y, en ese momento, se intercepta el token. “Como todo ataque en ingeniería social, lo que primero se vulnera es la confianza de la víctima a partir de un relato en el que se le induce a hacer un pago que después va a estar redirigido al atacante”, explicó Micucci.

Kaspersky añade: “La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono del delincuente. Con ese token activo, el criminal solo debe acercar su celular a una terminal para concluir la compra. La estafa suele ser única por víctima, ya que el token expira en segundos y no puede reutilizarse”.

Los expertos coinciden en que este fraude suele generar cargos pequeños debido a los límites establecidos para pagos sin contacto. “Es un mito que se pueda vaciar una cuenta bancaria mediante esta modalidad de fraude”, sostuvo Micucci.

Por su parte, León subrayó: “Es de bajo monto, pero sí impacta en nuestra economía. Es importante también mencionar que este fraude no clona la tarjeta ni roba los datos bancarios, nada más aprovecha el proceso de la comunicación inalámbrica”.

Cuando ocurre un cargo no reconocido, la recomendación es reportarlo primero ante la institución bancaria emisora de la tarjeta y, si no hay respuesta favorable, acudir a la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef). Sin embargo, muchas personas no detectan estos movimientos por no tener activadas las notificaciones o por considerar que el monto es mínimo.

La Secretaría de Seguridad y Protección Ciudadana emitió recomendaciones para prevenir este delito, entre ellas usar carteras con bloqueo de señales, no llevar tarjetas en bolsillos externos, desactivar la función NFC cuando no sea necesaria, verificar el monto antes de autorizar un pago y activar alertas bancarias. También se aconseja instalar aplicaciones solo desde tiendas oficiales, mantener actualizado el dispositivo, utilizar antivirus y activar la doble autenticación.

El “toque fantasma” demuestra que la comodidad tecnológica implica también nuevos riesgos. La prevención, advierten los especialistas, es una responsabilidad compartida entre usuarios e instituciones financieras.

Relacionado