Los pagos contactless y las billeteras digitales cambiaron la forma de consumir. Pero esa comodidad también abrió una nueva puerta al delito. Especialistas en ciberseguridad advierten sobre el crecimiento del llamado “robo invisible”, una técnica que aprovecha la tecnología NFC para ejecutar transacciones sin que el usuario lo advierta.
Según explica Facundo Balmaceda, especialista en ciberseguridad de SONDA Argentina, el problema no está en el hardware, sino en el uso que hacemos del dispositivo.
Qué es un Relay Attack y por qué es tan peligroso
El llamado Relay Attack no implica clonar tarjetas ni vulnerar el chip. Se trata de crear un “puente digital” entre la víctima y un lector de pagos.
El mecanismo funciona así:
-
Un atacante se acerca a 5 o 10 centímetros del celular o tarjeta.
-
Captura la señal NFC.
-
La retransmite por internet a otro dispositivo ubicado frente a un lector de pago.
-
El sistema interpreta que la tarjeta está físicamente allí y aprueba la operación.
La transacción se completa sin alertas visibles y sin contacto físico directo.
No es una falla del NFC, sino un abuso de una función legítima.
El eslabón más débil: el usuario
Desde SONDA advierten que el mayor riesgo está en la ingeniería social. Muchas veces el ataque comienza cuando el usuario instala aplicaciones aparentemente inofensivas.
Apps de linterna o calculadora que solicitan permisos de NFC o accesibilidad pueden convertirse en puertas de entrada. Herramientas como NFCGate, creadas con fines académicos, hoy son utilizadas por delincuentes para operar sobre las APIs disponibles en Android.
El patrón suele repetirse:
-
Aplicaciones fuera de tiendas oficiales.
-
Exceso de permisos innecesarios.
-
Actualizaciones que activan funciones maliciosas tiempo después.
El fraude no empieza en el lector de pago, sino en la app que el usuario instala sin revisar.
Quién responde y cómo se puede frenar
Uno de los grandes debates es la responsabilidad ante una operación no autorizada. Desde el sector bancario suelen argumentar que hubo consentimiento indirecto al instalar la app maliciosa. Sin embargo, especialistas sostienen que si no hubo autorización real, la transacción debería considerarse inválida.
Para mitigar el riesgo, no alcanza con desactivar el NFC.
Los expertos proponen avanzar hacia:
-
Autenticación contextual, que detecte incoherencias geográficas.
-
Biometría obligatoria en cada pago.
-
Eliminación de “ventanas de confianza” sin validación adicional.
El mensaje es claro: no estamos ante una crisis tecnológica, sino ante un problema de educación digital. El NFC y la IA pueden ser seguros, pero siempre habrá un factor humano que puede inclinar la balanza
Cerrar sesión