Kaspersky reveló en una reciente investigación una nueva y sofisticada modalidad de fraude llamada “Toque Fantasma”, que logra engañar a los pagos por proximidad, es decir, las transacciones sin contacto que se hacen al acercar la tarjeta o el celular a una terminal. En cuestión de segundos, los delincuentes utilizan aplicaciones maliciosas para interceptar el token o código único de la operación y retransmitirlo a otro teléfono, que completa la compra fraudulenta como si fuera la tarjeta original de la víctima.

Brasil sobresale de forma negativa en este panorama, al concentrar casi la mitad (47%) de los bloqueos de intentos de este fraude a nivel global, seguido por India, China y España. Esta investigación resulta especialmente importante en América Latina, donde prácticamente todos los usuarios de tarjetas bancarias pueden realizar pagos sin contacto.

Aunque el pago por proximidad es seguro porque genera un token único que expira en segundos, la investigación de Kaspersky reveló que los ciberdelincuentes encontraron la manera de explotar la tecnología para cometer fraudes.

¿Cómo funciona el fraude?

Presencial: En el fraude presencial, los delincuentes aprovechan la rapidez del NFC para actuar sin ser notados en lugares concurridos. Usando dos celulares, uno de los criminales se acerca lo suficiente a la víctima, ya sea en una fila, durante un concierto o incluso cuando el celular está sobre una mesa en un café, para robar el token del pago por proximidad. Ese código es enviado en tiempo real a un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para finalizar la compra fraudulenta. El resultado: la víctima pierde dinero sin ser infectada y, en la mayoría de los casos, sin percatarse de lo ocurrido.

Remoto: En esta modalidad, el fraude comienza con ingeniería social; un criminal llama a la víctima haciéndose pasar por un empleado del banco o de la compañía emisora de la tarjeta y la convence de instalar una aplicación falsa para “validar” la tarjeta. Dentro de la app, se le pide a la víctima acercar su tarjeta física al celular y, en ese instante, ocurre la estafa.

La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono del delincuente. Con ese token activo, el criminal solo debe acercar su celular a una terminal para concluir la compra. La estafa suele ser única por víctima, ya que el token expira en segundos y no puede reutilizarse. Actualmente, el ataque afecta principalmente a usuarios de Android, que permite la instalación de apps fuera de tiendas oficiales.

Ejemplos de aplicaciones bancarias falsas que simulan la identidad visual de bancos reales

“Esta estafa demuestra cómo los criminales saben bien cómo explotar las reglas del juego al crear un fraude sin necesidad de ‘hackear el sistema’. Nuestro análisis muestra que, aún con las capas de seguridad existentes, la creatividad de los atacantes permitió interceptar y reenviar datos de tarjetas, transformando la conveniencia en un riesgo real para los consumidores”, explica Anderson Leite, investigador de Seguridad en Kaspersky.

En canales de Telegram circulan tutoriales y videos que muestran cómo configurar y usar estas aplicaciones. Por ejemplo, la investigación halló un video de una transacción completada en una terminal con una tarjeta brasileña, con interfaz en portugués y narración en inglés, buscando llegar a un público global. Aunque presentados como soluciones para “pagos a distancia”, estos aplicativos son usados en la práctica para fraudes.