El avance de las billeteras virtuales y los pagos sin contacto con tecnología NFC trajo mayor comodidad, pero también abrió la puerta a nuevas modalidades de fraude digital.
Una de las más recientes es el llamado Relay Attack o ataque de retransmisión NFC, que permite realizar pagos a distancia sin que el usuario advierta el robo.
Facundo Balmaceda, especialista en ciberseguridad de Sonda Argentina, explicó que no se trata de una clonación tradicional de tarjetas, sino de una maniobra que aprovecha funciones legítimas del sistema.
Qué es el “Relay Attack” y cómo opera el fraude NFC
“El atacante utiliza un celular para captar la señal de tu tarjeta o teléfono cuando estás a sólo 5 o 10 centímetros de distancia. Esa información se envía por internet a otro dispositivo que está frente a un lector de pago en cualquier parte del mundo. El sistema cree que la tarjeta está ahí y la transacción se completa”, detalló Balmaceda.
En este esquema, el delincuente no rompe la seguridad del chip NFC ni vulnera directamente al banco. Lo que hace es crear un “puente digital” que retransmite la señal en tiempo real.
El riesgo aumenta en lugares concurridos, donde la cercanía física facilita la captura de la señal sin que la víctima lo note.
El rol de las apps maliciosas en Android
Desde Sonda Argentina advierten que el punto débil no es el hardware NFC, sino el uso que se le da al dispositivo.
“Los atacantes desarrollan aplicaciones que se camuflan como herramientas inofensivas. Cuando el usuario instala una app de linterna o calculadora que pide permisos de NFC o accesibilidad, le está entregando las llaves de su billetera al delincuente”, señaló el especialista.
Herramientas como NFCGate, creadas originalmente con fines académicos, hoy son utilizadas para facilitar este tipo de fraude digital. Funcionan sobre las APIs disponibles en Android y requieren que el usuario haya otorgado permisos sensibles.
Estudios citados por la firma indican que, de 900 aplicaciones de linterna analizadas, la mayoría solicitaba más de 25 permisos innecesarios.
Quién responde ante un robo con pagos sin contacto
Uno de los debates actuales gira en torno a la responsabilidad ante una transacción no autorizada.
Según Balmaceda, si el usuario no dio un consentimiento real para esa operación, debería considerarse una transacción no autorizada. “Culpar al cliente por ataques tan sofisticados no es sostenible legalmente”, afirmó.
Las entidades financieras, en cambio, suelen argumentar que la instalación de aplicaciones fraudulentas facilita el ataque.
Cómo proteger el celular y reducir el riesgo
El especialista sostiene que desactivar el NFC no es una solución definitiva. La clave está en reforzar la autenticación y mejorar los sistemas de detección.
“Necesitamos autenticación contextual: sistemas que detecten incoherencias, como un celular en una ubicación y un pago en otra, o latencias anómalas en la señal. Además, la biometría debería ser obligatoria en cada transacción”, explicó.
También recomendó descargar aplicaciones sólo desde tiendas oficiales, revisar los permisos antes de instalar y mantener el sistema operativo actualizado.
El crecimiento de los pagos sin contacto y las billeteras virtuales seguirá ampliando el uso del NFC. Para los expertos en ciberseguridad, el desafío no es abandonar la tecnología, sino fortalecer la educación digital y los mecanismos de protección para evitar que el “robo invisible” avance.
El avance de las billeteras virtuales y los pagos sin contacto con tecnología NFC trajo mayor comodidad, pero también abrió la puerta a nuevas modalidades de fraude digital. Una de las más recientes es el llamado Relay Attack o ataque de retransmisión NFC, que permite realizar pagos a distancia sin que el usuario advierta el robo.Facundo Balmaceda, especialista en ciberseguridad de Sonda Argentina, explicó que no se trata de una clonación tradicional de tarjetas, sino de una maniobra que aprovecha funciones legítimas del sistema.Qué es el “Relay Attack” y cómo opera el fraude NFC“El atacante utiliza un celular para captar la señal de tu tarjeta o teléfono cuando estás a sólo 5 o 10 centímetros de distancia. Esa información se envía por internet a otro dispositivo que está frente a un lector de pago en cualquier parte del mundo. El sistema cree que la tarjeta está ahí y la transacción se completa”, detalló Balmaceda.En este esquema, el delincuente no rompe la seguridad del chip NFC ni vulnera directamente al banco. Lo que hace es crear un “puente digital” que retransmite la señal en tiempo real.El riesgo aumenta en lugares concurridos, donde la cercanía física facilita la captura de la señal sin que la víctima lo note.El rol de las apps maliciosas en AndroidDesde Sonda Argentina advierten que el punto débil no es el hardware NFC, sino el uso que se le da al dispositivo.“Los atacantes desarrollan aplicaciones que se camuflan como herramientas inofensivas. Cuando el usuario instala una app de linterna o calculadora que pide permisos de NFC o accesibilidad, le está entregando las llaves de su billetera al delincuente”, señaló el especialista.Herramientas como NFCGate, creadas originalmente con fines académicos, hoy son utilizadas para facilitar este tipo de fraude digital. Funcionan sobre las APIs disponibles en Android y requieren que el usuario haya otorgado permisos sensibles.Estudios citados por la firma indican que, de 900 aplicaciones de linterna analizadas, la mayoría solicitaba más de 25 permisos innecesarios.Quién responde ante un robo con pagos sin contactoUno de los debates actuales gira en torno a la responsabilidad ante una transacción no autorizada.Según Balmaceda, si el usuario no dio un consentimiento real para esa operación, debería considerarse una transacción no autorizada. “Culpar al cliente por ataques tan sofisticados no es sostenible legalmente”, afirmó.Las entidades financieras, en cambio, suelen argumentar que la instalación de aplicaciones fraudulentas facilita el ataque.Cómo proteger el celular y reducir el riesgoEl especialista sostiene que desactivar el NFC no es una solución definitiva. La clave está en reforzar la autenticación y mejorar los sistemas de detección.“Necesitamos autenticación contextual: sistemas que detecten incoherencias, como un celular en una ubicación y un pago en otra, o latencias anómalas en la señal. Además, la biometría debería ser obligatoria en cada transacción”, explicó.También recomendó descargar aplicaciones sólo desde tiendas oficiales, revisar los permisos antes de instalar y mantener el sistema operativo actualizado.El crecimiento de los pagos sin contacto y las billeteras virtuales seguirá ampliando el uso del NFC. Para los expertos en ciberseguridad, el desafío no es abandonar la tecnología, sino fortalecer la educación digital y los mecanismos de protección para evitar que el “robo invisible” avance.