El Toque Fantasma: la estafa que puede vaciar su cuenta bancaria en segundos

El avance de la tecnología en el sector bancario ha llevado a que las alternativas de pagos sean más eficientes y rápidas ya sea a través de tarjetas o el teléfono celular.

Sin embargo, esta evolución que ha eliminado en gran medida en uso del dinero en efectivo ha traído grandes riesgos y los ciberdelincuentes están alertas para desarrollar métodos más sofisticados de hacer fraudes.

Así las cosas entre las estafas más comunes hoy en día son las que están relacionadas con el uso indebido de las tarjetas de crédito y débito, con las que los delincuentes logran acceder a información de sus víctimas.

Una reciente investigación de Kaspersky reveló una preocupante técnica de fraude conocida como “Toque Fantasma”, la cual permite a los ciberdelincuentes sacar dinero en cuestión de segundos mediante pagos sin contacto.

Esta nueva clase de delito aprovecha la tecnología NFC (Comunicación de Campo Cercano), empleada en tarjetas bancarias y dispositivos móviles, para ejecutar transacciones no autorizadas sin que la víctima lo perciba.

Según la compañía de ciberseguridad, la sofisticación de este tipo de ataque podría poner en riesgo la estabilidad financiera de millones de usuarios.

¿Cómo operan los delincuentes?

‘El toque del fantasma’ intercepta el código único que es generado cada transacción que se hace sin contacto y ahí es cuando los delincuentes utilizan aplicaciones capaces de capturar esta información y reproducirla, para realizar compras como si contaran con la tarjeta física de la víctima, todo sin dejar rastro del robo.

Este tipo de estafa es altamente efectiva, difícil de detectar y se puede realizar ya sea de forma remota o presencial.

En el modo presencial, los estafadores suelen actuar en lugares con gran afluencia de personas, como centros comerciales. Emplean dos teléfonos: uno capta el token NFC del dispositivo o tarjeta de la víctima, mientras el otro lo recibe y efectúa la transacción en cuestión de segundos.

El proceso es tan rápido que el dueño de la tarjeta no pierde el control de la misma y como los tokens tienen una duración muy breve antes de expirar, el rastreo posterior resulta casi imposible para las entidades bancarias o las autoridades.

Si por el contrario el fraude se va a hacer de manera remota, los ciberdelincuentes recurren a tácticas de ingeniería social para engañar a las víctimas. Se hacen pasar por empleados de bancos y las convencen de instalar una aplicación falsa para “verificar” su tarjeta.

Cuando el usuario acerca su tarjeta al teléfono, la app intercepta el token y lo transmite al estafador, quien completa el pago desde su propio dispositivo. Este método afecta con mayor frecuencia a usuarios de Android, debido a la posibilidad de instalar aplicaciones fuera de las tiendas oficiales.