Descubren cómo los hackers pueden robarte el dinero a través del cajero sin tocar tu tarjeta

Los investigadores de seguridad han detectado un nuevo malware para móviles Android capaz de aprovechar la tecnología NFC para interactuar con cajeros automáticos y así autorizar retiradas de efectivo sin necesidad de una tarjeta de crédito o débito. Esta técnica tan peculiar y peligrosa ha sido documentada por un equipo de ciberseguridad polaco, y muestra cómo un móvil comprometido basta para que un atacante pueda vaciar la cuenta de la víctima, incluso aunque esta conserve su tarjeta a buen recaudo. Lo más inquietante es que este robo se puede producir sin que haya un robo físico del móvil o tarjeta.

El peligroso malware que convierte a tu móvil en una llave maestra para el cajero

La tecnología NFC está presente en prácticamente cualquier smartphone moderno, y permite que el móvil se comunique con dispositivos cercanos. Esta función es utilizada a la hora de pagar con ellos en datáfonos, o para enviar datos entre distintos teléfonos, pero también está integrada en muchos cajeros como método de autenticación sin una tarjeta física. Esta comodidad y conveniencia, sin embargo, abre la puerta a que actores maliciosos intenten aprovechar la comunicación inalámbrica entre el teléfono del usuario y el cajero.

Un hallazgo reciente de un equipo de investigadores de seguridad polacos ha demostrado que esta comunicación inalámbrica puede ser manipulada de forma peligrosa. El nuevo malware que ha sido descubierto en Android es capaz de interceptar y manipular el uso de la comunicación NFC que algunos cajeros utilizan como sustituto de la tarjeta física, y enviarla a un atacante en tiempo real.

De este modo, un delincuente —o una mula— puede reproducir esa misma autenticación en otro cajero compatible y retirar dinero como si fuese el titular legítimo de la cuenta, sin necesidad de haber robado ni la tarjeta ni el móvil. Basta con que el dispositivo esté infectado, y que la víctima lo use en un cajero con soporte NFC para que futuras operaciones fraudulentas paralelas puedan completarse. Cuando la víctima se percata, es demasiado tarde.

Este tipo de crímenes ha tenido un repunte notorio en países como Rusia, según informan medios como Risky Biz, y hay reportes de uso de técnicas de ingeniería social para sugestionar a que sean las propias víctimas las que instalen el software malicioso bajo falsas promesas.

¿Cómo protegerse ante este nuevo peligro?

Como siempre: la mejor defensa es la prevención, y usar el sentido común. Mantener el sistema operativo actualizado, así como descargar apps únicamente de tiendas de confianza como la App Store o la Google Play Store, y desconfiar de permisos extraños o innecesarios solicitados por aplicaciones siguen siendo barreras cruciales para impedir que este tipo de software se instale en el dispositivo. En resumen, evitar links sospechosos, tener mil ojos con los intentos de phishing y no instalar APKs de origen dudoso reduce drásticamente las posibilidades de que un malware de este tipo se ejecute sin nuestro conocimiento.

Por supuesto, también hay que procurar verificar la identidad de quien nos llama, y no creernos falsas promesas de empleo o dinero fácil mediante operaciones aparentemente sencillas como bajar ciertas aplicaciones. Como dice el refrán: “nadie da duros a cuatro pesetas”. Precisamente el desconocimiento y la desesperación suelen ser utilizados por los cibercriminales para captar víctimas fáciles.

En definitiva, en un panorama donde la banca móvil y los pagos contactless son cada vez más habituales, conviene recordar que la seguridad empieza por los buenos hábitos a nivel de usuario. Ser selectivo con las apps que instalamos, revisar periódicamente los permisos y permanecer vigilantes sigue siendo la forma más efectiva de proteger nuestros teléfonos... y nuestras cuentas bancarias. Hay que recordar que no solo la tecnología avanza: también lo hacen los cibercriminales; mantenerse alerta ya no es una opción, sino una parte esencial de nuestro día a día.