Si al entrar en la aplicación del banco, ves cobros que tú no has realizado, y vienes de estar en el metro en hora punta, o en el centro de tu ciudad cuando está abarrotado, empieza a preocuparte. Podrías haber sido víctima del «toque fantasma», el nuevo método de robo a través del sistema contactless que se está viralizando en TikTok.
La comodidad de pagar acercando el móvil o el reloj inteligente al datáfono gracias a la tecnología NFC es fantástica, pero, como advierten los expertos en ciberseguridad, llevarla activada por defecto las 24 horas del día nos expone a un gran riesgo.
Tal y como alerta la especialista en ciberseguridad @mariaperadorcriminologia, conocida usuaria de TikTok, este nuevo método destaca por su sigilo. A diferencia del carterista tradicional, que hace uso de la destreza física para robar la cartera, en este caso solo necesita estar cerca. No hace falta contacto físico, sino estar lo suficientemente cerca de tu bolsillo o mochila para que la física de las ondas de radio haga el resto.
Robo de dinero a través del NFC
Este método, conocido como «toque fantasma», a pesar de que parezca técnicamente complejo, es muy sencillo a la hora de ejecutarlo. Sobre todo porque los delincuentes lo ponen en práctica en entornos con aglomeraciones, como el transporte público, las calles llenas de gente y tiendas, el centro de Madrid o cualquier lugar donde pueden pasar desapercibidos entre la multitud.
Este método se basa en una triangulación rápida utilizando dos dispositivos móviles. Y funciona así:
- Un delincuente se acerca a la víctima con un teléfono configurado como lector. Lo aproxima disimuladamente a tu bolsillo, bolso o mochila donde guardas tu smartphone con el NFC activado, con lo que te robará el token de pago.
- Al mismo tiempo, un segundo dispositivo (que puede estar en manos de un cómplice o controlado por el mismo ladrón) está finalizando una compra real o simulada en una pasarela de pago.
- El primer teléfono capta la señal de tu tarjeta virtual y la transmite al segundo dispositivo, que la utiliza para autorizar el pago.
Todo esto ocurre en cuestión de segundos. Tu móvil detecta una solicitud de pago, libera la autorización, especialmente en importes menores de 50 euros que no suelen pedir PIN ni verificaciones. Aunque en móvil suele requerir desbloqueo, los atacantes buscan vulnerabilidades en el estado de reposo o pantalla activa. Como resultado, acabarás pagando cargos que no reconocerás ni recordarás haber hecho.
¿Qué es el token de pago?
Cuando pagas con Apple Pay, Google Wallet o Samsung Pay, tu móvil nunca envía el número real de tu tarjeta de crédito (esos 16 dígitos impresos en ella). Por seguridad, el sistema genera un token de pago. Un token es un código cifrado único y aleatorio que sustituye a tu tarjeta real para esa transacción o dispositivo específico.
El objetivo del ataque de «toque fantasma» es robarte ese token. El ciberdelincuente no necesita saber tu nombre ni tu número de cuenta real. Lo único que necesita es engañar a tu móvil para que emita ese token de validación. Al acercarse a ti, su dispositivo le dice al tuyo: «Hola, soy un terminal de pago, dame el token para cobrar». Si tu móvil está desbloqueado o con una configuración muy permisiva y abierta, entregará el token y se hará el cobro.
Cómo evitar este robo
Para protegerse, lo más recomendable es invertir en tarjetas bloqueadoras o fundas anti-NFC.
- Fundas bloqueadoras: Están forradas con una malla metálica interna que impide que las ondas de radio entren o salgan. Si el móvil está dentro, es invisible para el ladrón.
- Tarjetas de bloqueo: Son del tamaño de una tarjeta de crédito normal y se colocan en la cartera junto a las demás. Crean un campo de interferencia pasiva que rompe la comunicación cuando alguien intenta escanear tu bolsillo.
Fuente: adslzone
