{"id":28034,"date":"2025-04-21T10:28:57","date_gmt":"2025-04-21T16:28:57","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28034"},"modified":"2025-04-21T10:28:57","modified_gmt":"2025-04-21T16:28:57","slug":"apple-google-nfc-carding-theft-2025","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/apple-google-nfc-carding-theft-2025\/28034\/","title":{"rendered":"Los usuarios de tarjetas NFC se esconden detr\u00e1s de Apple Pay y Google Wallet"},"content":{"rendered":"

La seguridad de las tarjetas de pago mejora constantemente, pero los atacantes siguen encontrando nuevas formas de robar dinero. En el pasado, despu\u00e9s de enga\u00f1ar a la v\u00edctima para que entregara las credenciales de su tarjeta en una tienda en l\u00ednea falsa o a trav\u00e9s de otra estafa, los ciberdelincuentes fabricaban un duplicado f\u00edsico de la tarjeta escribiendo los datos robados en una banda magn\u00e9tica. Estas tarjetas podr\u00edan utilizarse en tiendas e incluso en cajeros autom\u00e1ticos sin inconvenientes. Si bien la llegada de las tarjetas con chip y las contrase\u00f1as de un solo uso (OTP) ha complicado mucho la vida de los estafadores, se han adaptado<\/a>. El cambio a los pagos m\u00f3viles con tel\u00e9fonos inteligentes ha aumentado la resiliencia frente a algunos tipos de estafas, pero tambi\u00e9n ha abierto nuevas v\u00edas para ello. Ahora, despu\u00e9s de haber suplantado el n\u00famero de una tarjeta, intentan vincularla a su propia cuenta de Apple Pay o Google Wallet. Una vez hecho esto, utilizan esta cuenta desde un tel\u00e9fono inteligente para pagar productos con la tarjeta de la v\u00edctima, ya sea en una tienda normal o en un establecimiento falso con una terminal de pago habilitada para NFC.<\/p>\n

C\u00f3mo se suplantan las credenciales de las tarjetas<\/h2>\n

Estos ciberataques implican una preparaci\u00f3n a escala industrial. Los atacantes crean redes de sitios web falsos dise\u00f1ados para obtener datos de pago. Pueden imitar servicios de reparto, grandes tiendas en l\u00ednea<\/a> e incluso portales para pagar facturas de servicios p\u00fablicos o multas de tr\u00e1fico. Los ciberdelincuentes tambi\u00e9n compran decenas de tel\u00e9fonos inteligentes, crean cuentas de Apple o Google en ellos e instalan aplicaciones de pago sin contacto.<\/p>\n

Ahora viene lo m\u00e1s jugoso. Cuando una v\u00edctima aterriza en un sitio de cebo, se le pide que vincule su tarjeta o realice un peque\u00f1o pago obligatorio. Esto requiere introducir los detalles de su tarjeta y confirmar la propiedad de la tarjeta ingresando una OTP. De hecho, la tarjeta no se carga en ese momento.<\/strong><\/p>\n

\u00bfQu\u00e9 sucede realmente? Los datos de la v\u00edctima se transfieren casi instant\u00e1neamente a los ciberdelincuentes, quienes intentan vincular la tarjeta a una cartera m\u00f3vil<\/strong> en su tel\u00e9fono inteligente. El c\u00f3digo OTP es necesario para autorizar esta operaci\u00f3n. Para acelerar y simplificar el proceso, los atacantes utilizan un software especial que toma los datos que ha proporcionado la v\u00edctima y genera una imagen de la tarjeta que la replica a la perfecci\u00f3n. Despu\u00e9s, basta con tomar una fotograf\u00eda de esta imagen desde Apple Pay o Google Wallet. El proceso exacto para vincular una tarjeta a una cartera m\u00f3vil depende del pa\u00eds y el banco espec\u00edficos, pero, por lo general, no se requieren datos m\u00e1s que el n\u00famero, la fecha de vencimiento, el nombre del titular de la tarjeta, el CVV\/CVC y la OTP. Todo esto se puede suplantar en una sola sesi\u00f3n y poner en uso inmediatamente.<\/p>\n

Para que los ataques sean a\u00fan m\u00e1s efectivos, los ciberdelincuentes emplean trucos adicionales. En primer lugar, si la v\u00edctima recapacita antes de pulsar el bot\u00f3n Enviar, los datos ya introducidos en los formularios se siguen transmitiendo a los delincuentes, aunque se trate de unos pocos caracteres o de una entrada incompleta. En segundo lugar, el sitio falso puede informar que el pago ha fallado y solicitarle a la v\u00edctima que pruebe con una tarjeta diferente. De esta manera, los delincuentes podr\u00edan robar los datos de dos o tres\u00a0tarjetas a la vez.<\/p>\n

Las tarjetas no se cargan de inmediato y muchas personas, al no ver nada sospechoso en su extracto bancario, se olvidan por completo del incidente.<\/p>\n

C\u00f3mo se roba dinero de las tarjetas<\/h2>\n

Los ciberdelincuentes podr\u00edan vincular decenas de tarjetas a un tel\u00e9fono inteligente sin intentar gastar dinero inmediatamente desde ellas. Este tel\u00e9fono inteligente, repleto de n\u00fameros de tarjetas<\/a>, se revende luego en la red oscura. A menudo, transcurren semanas o incluso meses entre el phishing y el gasto. Pero cuando llegue ese desagradable d\u00eda, los delincuentes podr\u00edan decidir derrochar en art\u00edculos de lujo en una tienda f\u00edsica simplemente realizando un pago sin contacto desde un tel\u00e9fono lleno de n\u00fameros de tarjeta suplantados. Otra posibilidad es que creen su propia tienda falsa en una plataforma de comercio electr\u00f3nico leg\u00edtima y cobren dinero por productos inexistentes. Algunos pa\u00edses incluso permiten retiros de cajeros autom\u00e1ticos utilizando un tel\u00e9fono inteligente con tecnolog\u00eda NFC. En todos los casos anteriores, no se requiere confirmaci\u00f3n de la transacci\u00f3n mediante PIN u OTP, por lo que el dinero puede desviarse hasta que la v\u00edctima bloquee la tarjeta.<\/p>\n

Para agilizar la transferencia de carteras m\u00f3viles a compradores clandestinos, as\u00ed como para reducir el riesgo de quienes realizan pagos en tiendas, los atacantes comenzaron a utilizar una t\u00e9cnica de retransmisi\u00f3n por NFC apodada Ghost Tap<\/a>. Comienzan instalando una aplicaci\u00f3n leg\u00edtima como NFCGate en dos\u00a0tel\u00e9fonos inteligentes: uno con la cartera m\u00f3vil y las tarjetas robadas, el otro utilizado directamente para los pagos. Esta aplicaci\u00f3n transmite, en tiempo real a trav\u00e9s de Internet, los datos NFC de la cartera del primer tel\u00e9fono a la antena NFC del segundo, que el c\u00f3mplice de los ciberdelincuentes (conocido como \u201cmula\u201d) pulsa en la terminal de pago.<\/p>\n

La mayor\u00eda de las terminales de las tiendas fuera de l\u00ednea y muchos cajeros autom\u00e1ticos son incapaces de distinguir la se\u00f1al retransmitida de una original, lo que le permite a la mula pagar f\u00e1cilmente productos (o tarjetas regalo, que facilitan el blanqueo de los fondos robados). Adem\u00e1s, si la mula es detenida en la tienda, no hay nada incriminatorio en el tel\u00e9fono inteligente, solo la aplicaci\u00f3n leg\u00edtima NFCGate. No hay n\u00fameros de tarjetas robadas, ya que est\u00e1n escondidos en el tel\u00e9fono inteligente del cerebro de la operaci\u00f3n, que puede estar en cualquier parte, incluso en otro pa\u00eds. Este m\u00e9todo les permite a los estafadores retirar grandes sumas de dinero de forma r\u00e1pida y segura porque puede haber varias mulas pagando casi simult\u00e1neamente con la misma tarjeta robada.<\/p>\n

C\u00f3mo perder dinero pulsando la tarjeta en el tel\u00e9fono<\/h2>\n

A finales de 2024, los estafadores idearon otro mecanismo de retransmisi\u00f3n por NFC y lo probaron con \u00e9xito con usuarios de Rusia, y nada impide que la operaci\u00f3n se extienda a todo el mundo. Mediante este mecanismo, ni siquiera se les pide a las v\u00edctimas las credenciales de su tarjeta. En lugar de eso, los atacantes utilizan ingenier\u00eda social para obligarlos a instalar una aplicaci\u00f3n supuestamente \u00fatil en sus tel\u00e9fonos inteligentes bajo la apariencia de un servicio gubernamental, bancario o de otro tipo. Dado que muchas de estas aplicaciones bancarias y gubernamentales en Rusia fueron retiradas de las tiendas oficiales debido a las sanciones, los usuarios desprevenidos acceden f\u00e1cilmente a instalarlas. Luego se le pide a la v\u00edctima que acerque su tarjeta a su tel\u00e9fono inteligente e introduzca su PIN para fines de \u201cautorizaci\u00f3n\u201d o \u201cverificaci\u00f3n\u201d.<\/p>\n

Como habr\u00e1s adivinado, la aplicaci\u00f3n instalada no tiene nada en com\u00fan con su descripci\u00f3n. En la primera ola de este tipo de ataques, lo que recibieron las v\u00edctimas fue la misma retransmisi\u00f3n por NFC, reempaquetada como una \u201caplicaci\u00f3n pr\u00e1ctica\u201d. Cuando se acerca al tel\u00e9fono inteligente, lee la tarjeta y transmite sus datos junto con el PIN a los atacantes, quienes la usan para realizar compras o retirar efectivo de cajeros autom\u00e1ticos con NFC. Los sistemas antifraude de los grandes bancos rusos aprendieron r\u00e1pidamente a identificar este tipo de pagos debido a desajustes en la geolocalizaci\u00f3n de la v\u00edctima y del pagador, por lo que en 2025 el mecanismo cambi\u00f3, no as\u00ed su esencia.<\/p>\n

Ahora, la v\u00edctima recibe una aplicaci\u00f3n para crear una tarjeta duplicada y la retransmisi\u00f3n se instala del lado de los atacantes. A continuaci\u00f3n, con el falso pretexto del riesgo de robo, se convence a la v\u00edctima para que deposite dinero en una \u201ccuenta segura\u201d a trav\u00e9s de un cajero autom\u00e1tico, utilizando su tel\u00e9fono inteligente para autorizar el pago. Cuando la v\u00edctima acerca su tel\u00e9fono al cajero autom\u00e1tico, el estafador le transmite los datos de su propia tarjeta y el dinero termina en su cuenta. Este tipo de operaciones son dif\u00edciles de rastrear para los sistemas antifraude autom\u00e1ticos, ya que la transacci\u00f3n parece perfectamente leg\u00edtima: alguien se ha acercado a un cajero autom\u00e1tico y ha depositado dinero en una tarjeta. El sistema antifraude no sabe que la tarjeta pertenece a otra persona.<\/p>\n

C\u00f3mo proteger tus tarjetas de los estafadores<\/h2>\n

En primer lugar, los propios Google y Apple, junto con los sistemas de pago, deber\u00edan implementar medidas de protecci\u00f3n adicionales en la infraestructura de pagos. Sin embargo, los usuarios tambi\u00e9n pueden tomar medidas para protegerse:<\/p>\n