En un mundo donde el dinero en efectivo retrocede frente al avance de las billeteras virtuales y las tarjetas contactless, la seguridad se volvió una carrera entre los desarrolladores y los ciberdelincuentes. Hoy, una de las mayores preocupaciones en los laboratorios de ciberseguridad es el fraude por retransmisión NFC, una técnica que permite robar dinero sin siquiera tocar el celular de la víctima.
A diferencia de los hackeos que se ven en las películas, un ataque de retransmisión no necesita “romper” códigos complejos. Su secreto es la cercanía y la velocidad.
“No estamos ante un sistema que clona tarjetas, sino ante un puente digital”, explicó Facundo Balmaceda, especialista en ciberseguridad de SONDA Argentina. Y agregó: “El atacante utiliza un celular para captar la señal de tu tarjeta o teléfono cuando estás a solo 5 o 10 centímetros de distancia. Esa información se envía por internet a otro dispositivo que está frente a un lector de pago en cualquier otra parte del mundo. El sistema ‘cree’ que la tarjeta está ahí, y la transacción se completa sin que nadie note nada extraño”.
Ataque a celulares: el factor humano, en el centro del problema
Desde el equipo de ciberseguridad de SONDA, advierten que este no es un fallo del hardware NFC, sino un abuso de funciones legítimas que los usuarios mismos permiten.
“Analizamos que la seguridad depende críticamente de cómo se usa la tecnología. Los atacantes no buscan fallas masivas en el hardware, sino que desarrollan aplicaciones que se camuflan como herramientas inofensivas. Al instalar una app de linterna o calculadora que pide permisos de NFC o accesibilidad, el usuario le está entregando las llaves de su billetera al delincuente”, señaló Balmaceda.
El experto recuerda que existen herramientas como NFCGate, que aunque nacieron para la investigación académica, hoy son el arma predilecta de los delincuentes: “No rompen el chip, simplemente operan sobre las APIs disponibles en Android apoyándose en la distracción del usuario”.
Caballos de Troya en el smartphone
El peligro suele esconderse en las tiendas no oficiales. Facundo Balmaceda cita estudios alarmantes: de 900 aplicaciones de linternas analizadas, la mayoría pedía más de 25 permisos innecesarios.
“Es una táctica conocida. El ciberdelincuente sube una app inofensiva y, pasado un tiempo, la ‘activa’ de forma maliciosa a través de una actualización. Insistimos en que la ingeniería social es lo que realmente dispara la efectividad del fraude. El escenario de un lugar concurrido ayuda, pero la puerta suele abrirla una app maliciosa instalada previamente por el usuario”, subrayó el experto.
Responsabilidad y el futuro de la confianza
¿Quién paga cuando el robo ocurre? Este es uno de los mayores grises actuales. Si bien los bancos suelen argumentar que el usuario facilitó el ataque al instalar apps falsas, la visión de los especialistas es distinta.
“Desde mi visión, considero que los bancos deberían asumir la responsabilidad. Si el usuario no dio un consentimiento real, la operación es No Autorizada. Culpar al cliente por ataques tan sofisticados no es sostenible legalmente”, afirmó Balmaceda.
Para recuperar la confianza total, la solución no es simplemente “apagar el NFC”, una medida que el especialista califica de insuficiente.
“El futuro de la mitigación lo vemos en la Autenticación Contextual. Necesitamos sistemas que entiendan si hay coherencia: ¿es posible que el celular esté en una ubicación y el pago se esté realizando en otra? ¿Hay una latencia extraña en la señal? Además, la biometría debería ser obligatoria para cada transacción, sin excepciones ni ‘ventanas de confianza’”, sostuvieron desde SONDA, y concluyeron: “La IA y el NFC son herramientas poderosas, pero su seguridad siempre tendrá un componente humano que no podemos ignorar”.
