Ahora es noticia un nuevo y preocupante tipo de ciberdelincuencia denominada "Ghost Tap", que permite a los piratas informáticos aprovechar la tecnología de comunicación de campo cercano (NFC) para robar dinero de los sistemas de pago por móvil. 

Recientemente, los investigadores descubrieron que permite a los delincuentes realizar transacciones fraudulentas a distancia. Se trata de otro quebradero de cabeza tanto para las entidades financieras como para los ciudadanos que intentan proteger su dinero desde el móvil.

Así es como funciona: En primer lugar, los ciberdelincuentes se hacen con información robada de tarjetas de crédito. Suelen hacerlo a través de correos electrónicos de phishing, software malicioso u otras tácticas furtivas. A veces, utilizan malware disfrazado de aplicaciones financieras legítimas para capturar datos confidenciales como contraseñas y códigos de un solo uso (OTP) que los bancos envían por SMS.

Una vez que tienen la información de la tarjeta de crédito, los atacantes la vinculan a carteras digitales en aplicaciones de pago por móvil como Google Pay o Apple Pay. Pero en lugar de utilizar las tarjetas directamente, recurren a una herramienta llamada NFCGate. Esta herramienta se creó originalmente con fines de investigación honestos e inofensivos, pero en las manos equivocadas se convierte en una forma de interceptar, descodificar y falsificar señales NFC.

Las mulas del dinero

En un ataque Ghost Tap, NFCGate se utiliza para enviar datos de pago robados a través de un servidor a las llamadas "mulas de dinero". Estas mulas, a menudo dispersas por diferentes ciudades o incluso países, utilizan los datos robados para realizar compras fraudulentas en tiendas. Suelen ir tras artículos fáciles de liquidar, como tarjetas regalo y productos electrónicos de alta demanda.

A diferencia de las tácticas de fraude más antiguas, este método especialmente sofisticado no requiere que los piratas informáticos estén cerca de una caja registradora o de un terminal de punto de venta (TPV). Al utilizar NFCGate, pueden enviar la información de la tarjeta robada a varios dispositivos; en otras palabras, el fraude puede producirse en varios lugares.

Este tipo de ataque es difícil de detectar con los sistemas tradicionales de detección del fraude. Las transacciones parecen proceder de dispositivos legítimos vinculados a cuentas de pago reales, por lo que suelen pasar desapercibidas. Elementos como compras inusualmente grandes o cambios repentinos -las típicas señales de alarma- no siempre se aplican.

Los delincuentes también toman medidas adicionales para permanecer ocultos. A menudo ponen los dispositivos conectados a los datos de pago robados en modo avión para bloquear el rastreo, lo que dificulta aún más averiguar de dónde procede el fraude. Esta táctica les permite realizar transacciones no autorizadas en lugares muy distantes en cuestión de minutos, lo que puede confundir incluso a los mejores sistemas de vigilancia.

Ghost Tap es un quebradero de cabeza para los bancos porque combina tecnología avanzada con el anonimato de las redes descentralizadas. Los estafadores suelen realizar transacciones pequeñas, lo que les ayuda a evitar que salten las alarmas. Pero cuando esta estrategia se amplía, incluso los pequeños cargos pueden sumar enormes pérdidas financieras.

Mientras tanto, los delincuentes que están detrás de la estafa permanecen a salvo en la sombra, dejando que las mulas -que a menudo desconocen toda la operación- carguen con la culpa si son descubiertos. Según los informes, la capacidad de propagar estas actividades fraudulentas a través de tantos lugares a la vez hace casi imposible que los bancos y las plataformas de pago detecten el fraude rápidamente.

En última instancia, detener Ghost Tap recae en las instituciones financieras. Sin embargo, la gente normal puede mantenerse a salvo controlando las cuentas bancarias en busca de actividad sospechosa, activando medidas de seguridad adicionales como autenticación de dos factoresy simplemente siendo precavidos con las interacciones en línea. Si algo parece sospechoso, informar al banco de inmediato puede limitar los daños y, posiblemente, evitar más fraudes.

El auge del "Ghost Tap" pone de manifiesto la creciente complejidad de la ciberdelincuencia relacionada con los móviles, que está obligando a las entidades financieras y a los particulares a reforzar sus defensas. Si bien los bancos deben innovar para contrarrestar estos sofisticados ataques, los particulares desempeñan un papel clave permaneciendo atentos.