Ir al contenido principal

Delincuentes usan pagos sin contacto para realizar compras fraudulentas

 




Una nueva y altamente sofisticada modalidad de fraude bancario ha sido descubierta por la firma de ciberseguridad Kaspersky, encendiendo las alarmas a nivel global. Bautizado como “Toque Fantasma” (Ghost Touch), este método logra sortear la seguridad de los pagos por proximidad o transacciones contactless, permitiendo a los delincuentes completar compras fraudulentas en cuestión de segundos.

La investigación de Kaspersky revela cómo los ciberdelincuentes han encontrado la forma de explotar una de las tecnologías de pago más populares, particularmente en América Latina, donde casi todos los usuarios de tarjetas bancarias pueden realizar pagos sin contacto. Aunque la seguridad del pago por proximidad reside en la generación de un token o código único que expira en segundos, los estafadores han desarrollado aplicaciones maliciosas para interceptarlo y retransmitirlo a otro dispositivo para consumar el delito.

Delincuentes usan pagos sin contacto para realizar compras fraudulentas - unnamed-1024x365
Ejemplos de aplicaciones bancarias falsas que simulan la identidad visual de bancos reales.

Brasil, el Foco Rojo del Fraude

El panorama de esta nueva amenaza sitúa a Brasil en una posición preocupante, al concentrar casi la mitad (47%) de los intentos de fraude “Toque Fantasma” bloqueados a nivel mundial. Le siguen en la lista India, China y España. Este dato subraya la urgencia de concienciar sobre este riesgo, especialmente en países con alta penetración de pagos contactless.

¿Cómo Funciona el “Toque Fantasma”? Dos Modalidades de Ataque

La estafa opera bajo dos escenarios principales, ambos aprovechando la rapidez y la tecnología NFC (Comunicación de Campo Cercano) para actuar sin dejar rastro:

1. Fraude Presencial: El Robo Rápido en Lugares Concurridos

En esta modalidad, los delincuentes explotan la velocidad de la tecnología NFC para robar el token de pago por proximidad sin ser detectados. El ataque requiere de dos teléfonos móviles y la cercanía a la víctima.

  • Un criminal se acerca lo suficiente a la víctima (en una fila, un evento o una mesa de café) para que su celular, con la aplicación maliciosa, pueda robar el token del pago por proximidad del celular o tarjeta de la víctima.
  • Este código único es enviado en tiempo real a un segundo dispositivo, manejado por un cómplice.
  • El cómplice se acerca de inmediato a una terminal de cobro y finaliza la compra fraudulenta utilizando el token robado, como si fuera la tarjeta original.

La víctima pierde dinero sin que su dispositivo o tarjeta sean infectados y, en la mayoría de los casos, sin percatarse del robo en el momento.

Te puede interesar: Se cumplen dos años del ataque de Hamás a Israel

2. Fraude Remoto: Ingeniería Social y Aplicaciones Falsas

El ataque a distancia se inicia con una manipulación psicológica conocida como ingeniería social:

  • Un criminal contacta a la víctima (haciéndose pasar por personal de un banco o emisor de tarjetas) y la convence de instalar una aplicación falsa con el pretexto de “validar” su tarjeta.
  • Una vez dentro de la app maliciosa, se le pide a la víctima acercar su tarjeta física al celular.
  • En ese instante, la aplicación intercepta el token NFC generado por la tarjeta y lo retransmite al teléfono del atacante.
  • Con el token activo, el delincuente solo necesita acercar su celular a una terminal para completar la compra.

“Esta estafa demuestra cómo los criminales saben bien cómo explotar las reglas del juego al crear un fraude sin necesidad de ‘hackear el sistema’. Nuestro análisis muestra que, aún con las capas de seguridad existentes, la creatividad de los atacantes permitió interceptar y reenviar datos de tarjetas, transformando la conveniencia en un riesgo real para los consumidores”, explicó Anderson Leite, investigador de Seguridad en Kaspersky.

Delincuentes usan pagos sin contacto para realizar compras fraudulentas - unnamed-1
Imagen que circula en Telegram mostrando cómo se produce la estafa.

Este tipo de estafa suele ser única por víctima, ya que el token expira rápidamente. Kaspersky señala que el ataque afecta principalmente a usuarios del sistema operativo Android, que permite la instalación de aplicaciones fuera de las tiendas oficiales. Tutoriales y videos que detallan cómo configurar y usar estas herramientas circulan en canales de plataformas como Telegram, donde se promueven como “soluciones para pagos a distancia” cuando, en la práctica, son herramientas de fraude.

La revelación de este “Toque Fantasma” exige a los usuarios de pagos contactless extremar precauciones y a las instituciones financieras reforzar sus sistemas de detección y alerta.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Orden de aprehensión contra Juan José Gutiérrez Chapa por fraudes en Oaxaca; Otra vez hay agitación en la UTVCO por abusos; y Emotivo adiós al estadio Eduardo Vasconcelos

  COLUMNA + Orden de aprehensión contra Juan José Gutiérrez Chapa por fraudes en Oaxaca y Chiapas. Embarrada, la cadena internacional Tim Hortons. + Otra vez hay agitación en la UTVCO por abusos; vuelven a inconformarse los trabajadores. + Emotivo adiós al estadio Eduardo Vasconcelos. Para Oaxaca, el béisbol sigue su juego. Por Nayeli Guzmán Espinoza PRIMER TIEMPO Los fraudes del empresario oaxaqueño Juan José Gutiérrez Chapa a la unión de crédito CONCRECES, antes llamada Unión de Crédito Industrial y Comercial de Oaxaca (UCICO), trascendieron los límites de nuestro estado y se extendieron al vecino Chiapas. El pasado 3 de noviembre y 15 de diciembre de 2024, en esta columna comenté sobre este escandaloso fraude que en Oaxaca se estimaba en más de 400 millones de pesos; sin embargo, ahora trasciende que el fraude superaría los 500 millones de pesos. En ese entonces escribimos: “¿Quién es Juan José Gutiérrez Chapa?  “Es ingeniero industrial por el Instituto Tecnológico y de Est...
Publicar un comentario
Read more »

Saquen la bola de cristal para los cambios en el gabinete; También habría cambios en el Ayuntamiento de Oaxaca; y El regreso de enfermedades y plagas, por la corrupción y el desvío de recursos

  COLUMNA + Saquen la bola de cristal para los cambios en el gabinete: ¿se van Karime Unda, Edith Santibáñez, Luz Alejandra Hernández, Karina Barón… y más? + También habría cambios en el Ayuntamiento de Oaxaca, ese ‘elefante echado’ que sólo les sirve para tomarse fotos. + El regreso de enfermedades y plagas, por la corrupción y el desvío de recursos a programas clientelares y elefantes blancos. PRIMER TIEMPO Después del anuncio sobre los cambios en la administración estatal para refrescar una primavera que huele a flor de muerto, comenzó el inacabado juego de pronosticar los cambios, pues no dieron muchas luces. Vea usted, para estar en sintonía con los futurólogos que tienen una bola de cristal o con l@s ya conocid@s vocer@s de algunos funcionarios, esta columna chapulinera se sumará a la predicción, para ver si alguna es chicle y pega, qué tal si acertamos como Mony Vidente. Pues aquí va. Nos dicen en radio pasillo del Palacio que Karime Unda Harp, secretaria del Medio Ambiente,...
Publicar un comentario
Read more »

Si Oaxaca todavía no se ha podrido, va en esa ruta; ¿Van en serio con la revisión de dependencias y funcionarios?; y ‘tlayudota’ fallida, atole con el dedo que sirvió como distractor

  COLUMNA + Si Oaxaca todavía no se ha podrido, va en esa ruta: la inseguridad es innegable. + ¿Van en serio con la revisión de dependencias y funcionarios? Apunten al Fidelo y a su director, Emilio Rivera Moreno. + La ‘tlayudota’ fallida, atole con el dedo que sirvió como distractor de los temas realmente importantes. Por Nayeli Guzmán Espinoza PRIMER TIEMPO Vaya semana la que nos tocó en Oaxaca. La inseguridad es innegable, aunque quieran corregir la plana. Verá usted, esta columna ha escuchado a más de una persona que justifica lo sucedido, por ejemplo, con el líder del sindicato Catem Joven, el asesinado Juan Yavhé Luis Villaseca. El vehículo en el que viajaba con su esposa, su hijo y otra persona, presentó ¡más de 50 impactos de bala! Que si era de tal o cual forma, que ya la debía, etcétera. O que si se trata de otro “evento aislado” de violencia que, para desgracia de los oaxaqueños, se están volviendo comunes. Le diré que no, que no hay justificación para un crimen atroz; f...
Publicar un comentario
Read more »