Incluso con las capas de seguridad digital disponibles, existen diferentes técnicas para realizar cargos no autorizados en esta modalidad de fraude, ya sea de forma presencial o remota.
Los pagos sin contacto con tarjetas bancarias, teléfonos móviles y billeteras digitales permiten no insertar ningún plástico, no firmar, ni ingresar un PIN. Sin embargo, esas comodidades han ocasionado una nueva modalidad de fraude llamada “toque fantasma”.
“El ‘toque fantasma’ surge a raíz del crecimiento de los pagos sin contacto. Ya no debes introducir tu tarjeta en un dispositivo, basta con acercarla a un lector; pero este tipo de fraude justo aprovecha esa tecnología sin contacto”, resume Raúl León, especialista en ciberseguridad, en entrevista con El Sabueso, la unidad de verificación de desinformación de Animal Político.
¿Cómo funcionan los pagos sin contacto, NFC o contactless?
A los pagos sin contacto también se les llama NFC, siglas de Near Field Communication, que en español se traduce como comunicación de campo cercano. Como su nombre lo indica, se trata de una tecnología inalámbrica de corto alcance que permite transmitir datos entre dispositivos compatibles al acercarlos a pocos centímetros.
La tecnología NFC funciona a través de ondas de radio de muy baja potencia. Cuando acercas tu tarjeta, celular u otro dispositivo a la terminal de pago, se establece una comunicación instantánea que te permite hacer compras por contactless en supermercados, cafeterías y hasta en el transporte público.
“No solamente los dispositivos móviles contienen esta tecnología NFC, también las tarjetas físicas de crédito”, explica en entrevista Mario Micucci, investigador de seguridad informática de ESET, una compañía de software de ciberseguridad.
¿Qué es el “toque fantasma” y cómo opera?
Especialistas coinciden en que existen diferentes técnicas para realizar cargos no autorizados en esta modalidad de fraude.
“Uno de los escenarios típicos es robar una billetera o un celular desbloqueado y hacer varias compras mediante este protocolo NFC antes de que se bloquee”, menciona Micucci.
De acuerdo con Kaspersky, una empresa de ciberseguridad y privacidad digital global, el “toque fantasma” puede ser presencial, usando dos celulares de los criminales para capturar y retransmitir los datos del pago en tiempo real; o remota, mediante ingeniería social que hace que la víctima instale la aplicación fraudulenta del banco para robar los datos de la tarjeta.
La modalidad presencial consiste en engañar a los pagos por proximidad, es decir, aprovechando la rapidez de las transacciones sin contacto que se hacen al acercar la tarjeta o el celular a una terminal. Para eso se utilizan aplicaciones maliciosas que interceptan datos como el token o código único de la operación para retransmitirlos a otro teléfono.
“Usando dos celulares, uno de los criminales se acerca lo suficiente a la víctima, en una fila, concierto o incluso cuando el celular está sobre una mesa en un café, para robar el token del pago por proximidad. Ese código es enviado en tiempo real a un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para finalizar la compra fraudulenta. El resultado: la víctima pierde dinero”, describe Kaspersky.
En la modalidad remota, el fraude comienza con ingeniería social: llaman a la víctima haciéndose pasar por un empleado del banco emisor de la tarjeta y la convencen de instalar una aplicación falsa para supuestamente validar la tarjeta. Luego, se le pide acercar su tarjeta física al celular y, en ese instante, ocurre la estafa.
“Como todo ataque en ingeniería social, lo que primero se vulnera es la confianza de la víctima a partir de un relato en el que se le induce a hacer un pago que después va a estar redirigido al atacante”, sostiene Micucci.
“La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono del delincuente. Con ese token activo, el criminal solo debe acercar su celular a una terminal para concluir la compra. La estafa suele ser única por víctima, ya que el token expira en segundos y no puede reutilizarse”, detalla Kaspersky.
¿Dónde ocurre con mayor frecuencia este fraude?
Cuando el fraude es presencial, el “toque fantasma” ocurre en espacios concurridos para evitar que quienes lo realizan sean identificados.
“Aprovechan los lugares concurridos, ya sea una fila en un comercio o en un evento para que nosotros, obviamente, perdamos dinero, pero en la mayoría de los casos no nos damos cuenta”, indica Raúl León.
El problema se agrava en lugares saturados, donde el contacto cercano es normal y los movimientos pasan inadvertidos.
“Sucede donde hay mucha afluencia de personas que se pueden acercar a ti, ya sea que no traigas tus tarjetas físicas, pero tienes activada la tecnología en tu celular. ¿Y por qué en lugares concurridos? Para lograr ese acercamiento”, agrega León.
La investigación de Kaspersky señala que Brasil concentra casi la mitad (47 %) de los bloqueos de intentos de este fraude a nivel global. Le siguen India, China y España.
¿Cuánto dinero pueden cargar sin que el usuario lo note y cómo reportarlo?
Mario Micucci y Raúl León concuerdan en que el “toque fantasma” genera cargos mínimos porque las tarjetas permiten hacer pagos sin contacto con montos limitados. Desde su diseño cuenta con capas de seguridad, como el tope de una cantidad.
“Es un mito que se pueda vaciar una cuenta bancaria mediante esta modalidad de fraude”, sostiene Micucci. “Es de bajo monto, pero sí impacta en nuestra economía. Es importante también mencionar que este fraude no clona la tarjeta ni roba los datos bancarios, nada más aprovecha el proceso de la comunicación inalámbrica”, destaca León.
Del servicio que estemos utilizando depende que se pueda hacer un reporte del robo mediante “toque fantasma”. Normalmente es ante la entidad bancaria que respalda la tarjeta, la cual abre una investigación y decide si, según el contexto, se hace cargo de los daños.
Sin embargo, muchas veces los usuarios, al no tener las notificaciones del banco activadas, no se dan cuenta del cargo hasta que ven su estado de cuenta. Al ser un monto pequeño, lo dejan pasar.
“Se haría el reclamo a la entidad bancaria de donde seamos usuarios y, si ahí no te resuelven, también a la Condusef. Como los usuarios saben que a veces es muy burocrático, lo dejan pasar, pero la seguridad es compartida, tanto del usuario como de las instituciones bancarias; es un conjunto de prevención, de educación, de vigilancia”, alienta León a reportar.
¿Qué puedes hacer para prevenir este fraude?
La Secretaría de Seguridad y Protección Ciudadana (SSPC), a través de la Unidad de Inteligencia, Investigación Cibernética y Operaciones Tecnológicas, emitió algunas recomendaciones para prevenir fraudes mediante la modalidad “toque fantasma”. Por ejemplo:
- Contar con protección física y utilizar carteras, fundas o tarjeteros con bloqueo de señales, para impedir la lectura no autorizada de la información contenida en tarjetas de crédito o débito.
- Mantener las tarjetas en lugares seguros y no llevarlas en bolsillos externos o mochilas abiertas, con el fin de evitar la exposición. Raúl León añade el tener a la vista nuestras pertenencias.
- Desactivar la función NFC en dispositivos móviles cuando no sea necesaria, a fin de impedir la emisión o recepción involuntaria de señales de pago.
- Verificar dónde vamos a colocar la tarjeta y el monto que aparece en la terminal antes de autorizar cualquier pago, para confirmar que el importe corresponde al acordado y prevenir cargos indebidos.
- Activar alertas en la aplicación bancaria, con el objetivo de recibir notificaciones inmediatas de cada transacción y detectar oportunamente movimientos inusuales.
- Consultar de manera periódica los movimientos, revisando estados de cuenta y notificaciones para identificar cargos no reconocidos.
- Tener precaución al instalar aplicaciones. Según Kaspersky, el “toque fantasma” afecta principalmente a usuarios de Android, porque este sistema operativo permite la instalación de apps fuera de tiendas oficiales.
- Actualizar las aplicaciones y contar con antivirus y doble autenticación, sugiere Mario Micucci.
- Bloquear la tarjeta si llega un cargo no reconocido y solicitar su aclaración.
