Una experta en ciberseguridad alerta del toque fantasma, el nuevo método para robarte a través del NFC

La comodidad de pagar acercando el móvil o el reloj inteligente al datáfono gracias a la tecnología NFC es fantástica, pero, como advierten los expertos en ciberseguridad, llevarla activada por defecto las 24 horas del día nos exponen a un gran riesgo.

Tal y como alerta la especialista en ciberseguridad @mariaperadorcriminologia, conocida usuaria de TikTok, este nuevo método destaca por su sigilo. Una diferencia del carterista tradicional, que hace uso de la destreza física para robar la cartera, en este caso. solo necesita estar cerca. No hace falta contacto físico, sino estar lo suficientemente cerca de tu bolsillo o mochila para que la física de las ondas de radio haga el resto.

Robo de dinero a través de NFC

Este método, conocido como «toque fantasma», a pesar de que parece técnicamente complejo, es muy sencillo a la hora de ejecutarlo. Sobre todo porque los delincuentes lo ponen en práctica en entornos con aglomeracionescomo el transporte público, las calles llenas de gente y tiendas, el centro de Madrid o cualquier lugar donde puedan pasar desapercibidos entre la multitud.

Este método se basa en una triangulación rápida utilizando dos dispositivos móviles. Y funciona así:

1. Un delincuente se acerca a la víctima con un teléfono configurado como lector. Lo aproximadamente disimuladamente a tu bolsillo, bolso o mochila donde guardas tu smartphone con el NFC activado, con lo que te robará el token de pago.
2. Al mismo tiempo, un segundo dispositivo (que puede estar en manos de un cómplice o controlado por el mismo ladrón) está finalizando una compra real o simulada en una pasarela de pago.
3. El primer teléfono capta la señal de tu tarjeta virtual y la transmite al segundo dispositivo, que la utiliza para autorizar el pago.

@mariaperadorcriminologia

Cuidado con esto👆 #ciberseguridad #privacidad #seguridaddigital

♬ sonido original – María Aperador

Todo esto ocurre en cuestión de segundos. Tu móvil detecta una solicitud de pago, libera la autorización, especialmente en importaciones menores de 50 euros que no suelen pedir PIN ni verificaciones. Aunque en el móvil suele requerir desbloqueo, los atacantes buscan vulnerabilidades en el estado de reposo o pantalla activa. Como resultado, acabarás pagando cargos que no reconocerás ni recordarás haber hecho.

¿Qué es el token de pago?

Cuando pagas con Apple Pay, Google Wallet o Samsung Pay, tu móvil nunca envía el número real de tu tarjeta de crédito (esos 16 dígitos impresos en ella). Por seguridad, el sistema géneros un ficha de pago. Un token es un código de cifrado único y aleatorio que reemplaza a tu tarjeta real para esa transacción o dispositivo específico.

El objetivo del ataque de «toque fantasma» es robarte ese token. El ciberdelincuente no necesita saber tu nombre ni tu número de cuenta real. Lo único que necesita es engañar a tu móvil para que emita ese token de validación. Al acercarse a ti, su dispositivo le dice al tuyo: «Hola, soy un terminal de pago, dame el token para cobrar». Si tu móvil está desbloqueado o con una configuración muy permisiva y abierta, entregará el token y se hará el cobro.

Cómo evitar este robo

Para protegerse, lo más recomendable es invertir en tarjetas bloqueadoras o fundas anti-NFC.

• Fundas bloqueadas: Están forradas con una malla metálica interna que impide que las ondas de radio entren o salgan. Si el móvil está dentro, es invisible para el ladrón.
• Tarjetas de bloqueo: Son del tamaño de una tarjeta de crédito normal y se colocan en la cartera junto a los demás. Crea un campo de interferencia pasiva que rompe la comunicación cuando alguien intenta escanear tu bolsillo.