Kaspersky descubrió una nueva forma de robo digital que está afectando a usuarios de tarjetas bancarias en todo el mundo.
El esquema, conocido como Toque Fantasma, permite a los delincuentes realizar compras sin tener la tarjeta física, aprovechando la tecnología de pago por proximidad que usan millones de personas todos los días.
El mecanismo es tan rápido que todo ocurre en segundos. Los atacantes usan una aplicación maliciosa capaz de interceptar el token, un código único que genera cada transacción sin contacto. Ese código se envía a otro teléfono, que lo utiliza para completar una compra como si fuera el dueño legítimo de la tarjeta.
El estudio de muestra que Brasil es el país más afectado, concentrando 47% de los intentos bloqueados a nivel global. Le siguen India, China y España. La compañía advierte que esta tendencia es preocupante en América Latina, donde casi todos los bancos ya ofrecen pagos sin contacto.
Aunque esta tecnología se considera segura porque el token expira en segundos, los ciberdelincuentes encontraron la forma de explotar esa ventana mínima de tiempo.
¿Cómo funciona?
Existen dos formas principales del fraude. En la versión presencial, los criminales operan en lugares llenos de gente. Uno de ellos se acerca discretamente a la víctima —en una fila, un concierto o una cafetería— y capta el token de su tarjeta o teléfono. Ese código se transmite al instante a otro dispositivo, que ejecuta la compra en una terminal cercana. La víctima no nota nada hasta revisar su estado de cuenta.
En la modalidad remota, los estafadores recurren a la ingeniería social. Llaman a la víctima fingiendo ser empleados del banco y la convencen de instalar una app falsa para validar su tarjeta. Al acercar la tarjeta al celular, la aplicación intercepta el token NFC y lo envía al teléfono del criminal, que inmediatamente realiza la transacción. Estos ataques afectan sobre todo a usuarios de Android, ya que este sistema permite instalar apps fuera de las tiendas oficiales.
Este tipo de fraude demuestra que los atacantes no necesitan vulnerar directamente los sistemas bancarios: basta con manipular cómo se usa la tecnología. La empresa ha encontrado incluso videos y tutoriales en Telegram que enseñan cómo configurar estas aplicaciones, algunos en varios idiomas y con ejemplos reales de compras realizadas.
Los expertos recomiendan medidas simples pero efectivas: usar carteras que bloqueen señales NFC, revisar frecuentemente las transacciones bancarias y descargar solo aplicaciones de fuentes oficiales. También sugieren contar con una solución de seguridad confiable que pueda detectar y bloquear programas que intenten explotar la comunicación por proximidad.
