No es película ni rumor: el Toque Fantasma es un robo real que vacía tus cuentas bancarias sin tocar tu celular; que se activa a través de los famosos pagos sin contacto, esos en los que solo acercas tu teléfono o una tarjeta para realizar una transferencia.
El nuevo fraude burla todos los sistemas de seguridad y permite a los ciberdelincuentes usar los datos de tus plásticos para hacer compras como si tuvieran el dispositivo en sus manos, sin pedir PIN, contraseña ni aviso alguno.
Se trata de una estafa probada, que ya se propagó por varias ciudades de México y América Latina; que aprovecha vulnerabilidades de los pagos sin contacto y convierte tu celular o plástico bancario en un blanco fácil si no estás alerta, advirtió la empresa de ciberseguridad Kaspersky.
¿Cómo opera el fraude del Toque Fantasma?
A través de su más reciente investigación, Kaspersky explicó que el Toque Fantasma es una sofisticada modalidad de fraude, que logra engañar a los sistemas operativos y de seguridad de los pagos por proximidad: transacciones sin contacto que se hacen al acercar la tarjeta o el celular a una terminal.
“En cuestión de segundos, los delincuentes utilizan aplicaciones maliciosas para interceptar el token o código único de la operación y retransmitirlo a otro teléfono, que completa la compra fraudulenta como si fuera la tarjeta original de la víctima”, indicó la empresa.
Señaló que, en este momento, Brasil sobresale de forma negativa en el ranking de ataques del nuevo fraude, con casi la mitad (47 %) de los intentos bloqueados a nivel global; pero México y los países de América Latina son un foco de alerta, porque “todos los usuarios de tarjetas bancarias pueden realizar pagos sin contacto”.
“Aunque el pago por proximidad es seguro, porque genera un token único que expira en segundos, la investigación reveló que los ciberdelincuentes encontraron la manera de explotar la tecnología para cometer fraudes”.
— Kaspersky
Modus operandi del Toque Fantasma
La firma de ciberseguridad señaló que el Toque Fantasma tiene dos modalidades:
Presencial
En el fraude presencial, los delincuentes aprovechan la rapidez del NFC –tecnología de comunicación inalámbrica de corto alcance, que se utilizan en los pagos sin contacto– para robar los datos financieros sin ser notados en lugares concurridos.
“Usando dos celulares, uno de los criminales se acerca lo suficiente a la víctima, ya sea en una fila, durante un concierto o incluso cuando el celular está sobre una mesa en un café, para robar el token del pago por proximidad.
“Ese código es enviado en tiempo real a un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para finalizar la compra fraudulenta. El resultado: la víctima pierde dinero sin ser infectada y, en la mayoría de los casos, sin percatarse de lo ocurrido”.
Remoto
En esta modalidad, el fraude comienza con ingeniería social y se lleva a cabo cuando un criminal llama a la víctima, haciéndose pasar por un empleado del banco o de la compañía emisora de la tarjeta, y la convence de instalar una aplicación falsa para “validar” la tarjeta.
“Dentro de esa app, los delincuentes cibernéticos solicitan a la víctima acercar su tarjeta física al celular y, en ese instante, ocurre la estafa. La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono del delincuente.
“Con ese token activo, el criminal solo debe acercar su celular a una terminal para concluir la compra. La estafa suele ser única por víctima, ya que el token expira en segundos y no puede reutilizarse. Actualmente, el ataque afecta principalmente a usuarios de Android, que permite la instalación de apps fuera de tiendas oficiales”.
El Toque Fantasma no es hackeo
El investigador de seguridad de Kaspersky, Anderson Leite, puntualizó que el Toque Fantasma no es un hackeo, sino un despliegue de creatividad tecnológica para engañar y burlar al sistema de los pagos sin contacto.
“Este robo evidencia cómo los criminales saben bien cómo explotar las reglas del juego al crear un fraude sin necesidad de hackear el sistema. Nuestro análisis muestra que, aún con las capas de seguridad existentes, la creatividad de los atacantes permitió interceptar y reenviar datos de tarjetas”, dijo.
Refirió que en redes sociales como Telegram circulan tutoriales y videos que muestran cómo configurar y usar las aplicaciones para burlar la seguridad en los pagos a distancia. La investigación ubicó el video de una transacción completada, con una tarjeta brasileña, que es presentada como una solución, pero que –en la práctica– se usa para los fraudes.
Consejos vs. el Toque Fantasma
Para evitar ataques del Toque Fantasma, los expertos de Kaspersky te recomiendan:
Modalidad presencial
- Usa una protección física. Busca billeteras o portatarjetas que bloqueen la comunicación NFC, que impidan a los delincuentes leer los datos de tu tarjeta a distancia.
- Monitorea tus transacciones. Revisa cualquier movimiento sospechoso en las cuentas bancarias y facturas; activa el sistema de alertas de tu banco.
Fraude remoto
- Ten mucha precaución al instalar apps. Descarga aplicaciones solo de tiendas oficiales y verifica la reputación del desarrollador.
- Utiliza una solución o plataforma de seguridad confiable; ésta te permitirá detectar y bloquear aplicaciones maliciosas que intentan explotar la tecnología NFC del teléfono celular o tarjeta bancaria.