NFCGate: protege tus pagos móviles de los sofisticados ataques de retransmisión

En la era actual, la cartera física es casi una reliquia para muchos. Los pagos con el móvil mediante tecnología NFC se han consolidado como el método preferido, gracias a su rapidez y comodidad. ¿Quién necesita recordar un PIN cuando tu smartphone lo gestiona todo?

La cara oscura de la comodidad: los ataques de retransmisión NFC

Esta tecnología, relativamente reciente, incorpora robustas protecciones antifraude. Sin embargo, los delincuentes siempre encuentran la manera de innovar, y han ideado métodos para explotar el NFC y sustraer tu dinero. Afortunadamente, mantener tus fondos a salvo es más sencillo de lo que parece, siempre y cuando conozcas estos riesgos y sepas cómo evitarlos.

¿Qué es la retransmisión NFC y cómo encaja NFCGate?

La retransmisión NFC es una técnica que intercepta y reenvía datos en tiempo real entre una tarjeta y un terminal de pago mediante dos dispositivos conectados a internet, permitiendo ejecutar transacciones a distancia sin que la tarjeta física esté presente.

Esta tecnología se popularizó con NFCGate, una herramienta de código abierto creada en 2015 por investigadores de la Universidad Técnica de Darmstadt para el análisis académico del tráfico inalámbrico.

Sin embargo, a partir de 2020 el cibercrimen adaptó este software mediante servidores maliciosos y tácticas de ingeniería social para convertir un proyecto educativo en un método eficaz para vaciar cuentas bancarias sin necesidad de acceso físico al plástico.

Cronología de una amenaza creciente

El uso indebido de NFCGate no es algo del futuro, sino una realidad reciente. Los primeros ataques documentados con una versión modificada de NFCGate surgieron a finales de 2023 en la República Checa. Para principios de 2025, el problema ya había escalado significativamente: los expertos en ciberseguridad identificaron más de 80 muestras de malware únicas, creadas a partir de NFCGate. Estos ataques evolucionaron rápidamente, integrando las capacidades de retransmisión NFC en otros componentes de software malicioso.

• Febrero de 2025: surgieron paquetes de malware que combinaban CraxsRAT y NFCGate, permitiendo a los atacantes instalar y configurar la retransmisión con una interacción mínima de la víctima.
• Primavera de 2025: se detectó una nueva y engañosa variante, la versión “inversa” de NFCGate, que cambió radicalmente la dinámica del ataque.
• El troyano RatOn: detectado inicialmente en la República Checa, este troyano es especialmente preocupante. Combina el control remoto del móvil con las capacidades de retransmisión NFC, permitiendo a los atacantes dirigirse a las aplicaciones bancarias y tarjetas de las víctimas con diversas combinaciones de técnicas. Sus funciones incluyen la captura de pantalla, la manipulación del portapapeles, el envío de SMS y el robo de información de carteras de criptomonedas y aplicaciones bancarias.
• Malware como Servicio (MaaS): los ciberdelincuentes han llevado la retransmisión NFC al modelo de MaaS, revendiéndola a otros actores maliciosos mediante suscripciones. A principios de 2025, se descubrió una campaña sofisticada de malware para Android en Italia, conocida como SuperCard X. Hubo intentos de difusión de SuperCard X en Rusia en mayo de 2025 y en Brasil en agosto del mismo año.

Modalidades de ataque: directo vs inverso

Comprender las dos principales formas en que se ejecutan estos ataques es crucial para tu protección.

El ataque directo con NFCGate

Esta es la mecánica criminal original que explota NFCGate. En este escenario, tu teléfono actúa como el lector, y el teléfono del atacante como el emulador de tarjeta.

1. Engaño y aplicación maliciosa: los estafadores te engañan para que instales una aplicación maliciosa. Esta puede disfrazarse de servicio bancario, actualización del sistema, una aplicación de “seguridad de la cuenta” o incluso una popular aplicación de redes sociales.
2. Obtención de permisos: una vez instalada, la aplicación solicita acceso a NFC e Internet, a menudo sin pedir permisos excesivamente sospechosos o acceso de root. Algunas versiones también solicitan acceso a las funciones de accesibilidad de Android.
3. El engaño de la verificación: con la excusa de verificar tu identidad, te piden que acerques tu tarjeta bancaria al teléfono.
4. Robo y retransmisión: en el momento en que lo haces, el malware lee los datos de tu tarjeta vía NFC y los envía instantáneamente al servidor de los delincuentes. Desde allí, la información se retransmite a un segundo móvil, en manos de una “mula”, que está físicamente en un terminal de pago o cajero automático, realizando la transacción.
5. Robo del PIN: la aplicación falsa instalada en tu móvil también solicita el PIN de la tarjeta, tal como lo haría un terminal legítimo, y lo envía a los atacantes.

Originalmente, los delincuentes operaban en tiempo real en un cajero automático. Pero la sofisticación ha aumentado, y los datos robados pueden usarse para compras en tiendas físicas de forma diferida o sin conexión. Para la víctima, este robo es muy difícil de detectar: la tarjeta nunca salió de tu poder, no compartiste datos manualmente, y las alertas bancarias pueden retrasarse o incluso ser interceptadas por la propia aplicación maliciosa.

Señales de alerta del ataque directo:

• Invitaciones a instalar aplicaciones que no provienen de tiendas oficiales (Google Play Store).
• Solicitudes para acercar tu tarjeta bancaria a tu teléfono por parte de una aplicación o persona.

El ataque NFCGate inverso

Este mecanismo es más reciente y aún más sutil. En este caso, tu móvil ya no lee tu tarjeta, sino que emula la tarjeta del atacante. Para ti, la víctima, todo parece completamente seguro: no tienes que recitar datos de tarjeta, compartir códigos ni acercar tu móvil a una tarjeta propia.

1. Ingeniería social mejorada: el ataque comienza con una llamada o mensaje convincente para que instales una aplicación de “pagos sin contacto”, “seguridad de tarjetas” o incluso una supuesta aplicación de “moneda digital del banco central”.
2. Cambio del método de pago predeterminado: una vez instalada, la aplicación solicita establecerse como el método de pago sin contacto predeterminado. Este paso es crucial, ya que permite al malware funcionar sin necesidad de acceso root, solo con tu consentimiento.
3. Conexión silenciosa: la aplicación maliciosa se conecta discretamente al servidor de los atacantes en segundo plano, y los datos NFC de una tarjeta propiedad de los delincuentes se transmiten a tu dispositivo. Este proceso es totalmente invisible para ti.
4. El engaño en el cajero automático: después, te dirigen a un cajero automático. Con la excusa de “transferir dinero a una cuenta segura” o “enviarte dinero a ti mismo”, te instruyen para que acerques tu móvil al lector NFC del cajero.
5. Robo de fondos: en ese momento, el cajero interactúa con la tarjeta del atacante (emulada por tu móvil). El PIN te lo dan de antemano, presentándolo como un “nuevo” o “temporal” PIN. El resultado es que todo el dinero que deposites o transfieras terminará en la cuenta de los ciberdelincuentes.

Características clave del ataque inverso:

• Solicitudes para cambiar tu método de pago NFC predeterminado a una aplicación desconocida.
• Un PIN “nuevo” o “temporal” que te dan por adelantado.
• Cualquier situación en la que te digan que vayas a un cajero automático y realices acciones siguiendo instrucciones de otra persona.

Cómo protegerte de esta amenaza invisible

Los ataques de retransmisión NFC se basan más en tu confianza que en vulnerabilidades técnicas complejas. Para defenderte, basta con aplicar precauciones sencillas y sentido común:

• Mantén tu método de pago seguro como predeterminado: asegúrate siempre de que tu aplicación de pago sin contacto de confianza (como Google Pay o Samsung Pay) sea la predeterminada en tu móvil.
• Cuidado con las solicitudes de tarjeta: nunca acerques tu tarjeta bancaria a tu teléfono si alguien te lo pide o si una aplicación te lo indica. Las aplicaciones legítimas pueden usar la cámara para escanear un número de tarjeta, pero nunca te pedirán usar el lector NFC para tu propia tarjeta.
• Desconfía de extraños en cajeros: nunca sigas instrucciones de desconocidos en un cajero automático, sin importar quiénes digan ser.
• Evita fuentes no oficiales: no instales aplicaciones de fuentes que no sean las tiendas oficiales de tu sistema operativo (Google Play Store). Esto incluye enlaces enviados por mensajes, redes sociales, SMS o recomendaciones durante una llamada telefónica, incluso si quien llama dice ser de tu banco o de la policía.
• Utiliza seguridad integral: instala una solución de seguridad completa en tus móviles Android para bloquear llamadas fraudulentas, evitar sitios de phishing y detener la instalación de malware.
• Verifica las aplicaciones: cuando descargues una aplicación de una tienda oficial, comprueba las reseñas, el número de descargas, la fecha de publicación y la calificación de la aplicación.
• Usa tu tarjeta física en cajeros: acostúmbrate a utilizar tu tarjeta física en lugar de tu móvil para las transacciones en cajeros automáticos.
• Revisa la configuración NFC: comprueba periódicamente la configuración de “Método de pago predeterminado” en el menú NFC de tu teléfono. Si ves alguna aplicación sospechosa en la lista, elimínala inmediatamente y realiza un análisis de seguridad completo en tu dispositivo.
• Controla los permisos de acceso: revisa la lista de aplicaciones con permisos de acceso, ya que esta función es un objetivo frecuente del malware. Revoca estos permisos para cualquier aplicación sospechosa o, directamente, desinstala la aplicación.
• Ten a mano los números de tu banco: guarda los números oficiales de atención al cliente de tus bancos en los contactos de tu teléfono. Ante la menor irregularidad, llama directamente y sin demora.
• Bloquea tu tarjeta al instante: si sospechas que los datos de tu tarjeta han sido comprometidos, bloquea la tarjeta inmediatamente a través de la aplicación de tu banco o llamando a su servicio de atención al cliente.