LOS PAGOS SIN CONTACTO REVOLUCIONARON LA COMODIDAD, PERO ABRIERON LA PUERTA A TÉCNICAS COMO EL “RELAY ATTACK”. FACUNDO BALMACEDA, ESPECIALISTA EN CIBERSEGURIDAD DE SONDA ARGENTINA, EXPLICA POR QUÉ EL ESLABÓN MÁS DÉBIL NO ES EL CHIP, SINO EL USO QUE LE DAMOS AL DISPOSITIVO.
En un mundo donde el efectivo retrocede frente al avance de las billeteras virtuales y las tarjetas contactless, la seguridad se volvió una carrera de fondo entre los desarrolladores y los ciberdelincuentes. Hoy, una de las mayores preocupaciones en los laboratorios de ciberseguridad es el fraude por retransmisión NFC, una técnica que permite robar dinero sin siquiera tocar el teléfono de la víctima.
¿Qué es un “Relay Attack” y por qué es tan peligroso?
A diferencia de los hackeos que vemos en las películas, un ataque de retransmisión no necesita “romper” códigos complejos. Su secreto es la cercanía y la velocidad.
“No estamos ante un sistema que clona tarjetas, sino ante un puente digital”, explica Facundo Balmaceda, especialista en ciberseguridad de SONDA Argentina. “El atacante utiliza un celular para captar la señal de tu tarjeta o teléfono cuando estás a solo 5 o 10 centímetros de distancia. Esa información se envía por internet a otro dispositivo que está frente a un lector de pago en cualquier otra parte del mundo. El sistema ‘cree’ que la tarjeta está ahí, y la transacción se completa sin que nadie note nada extraño”.
El factor humano como eje del problema
Desde el equipo de ciberseguridad de SONDA, advierten que este no es un fallo del “fierro” o del hardware NFC, sino un abuso de funciones legítimas que nosotros mismos permitimos.
“En SONDA Argentina analizamos que la seguridad depende críticamente de cómo se usa la tecnología. Los atacantes no buscan fallas masivas en el hardware, sino que desarrollan aplicaciones que se camuflan como herramientas inofensivas. Al instalar una app de linterna o calculadora que pide permisos de NFC o accesibilidad, el usuario le está entregando las llaves de su billetera al delincuente”, señala Balmaceda.
El experto recuerda que existen herramientas como NFCGate, que aunque nacieron para la investigación académica, hoy son el arma predilecta de los delincuentes: “No rompen el chip, simplemente operan sobre las APIs disponibles en Android apoyándose en la distracción del usuario”.
Caballos de Troya en el celular
El peligro suele esconderse en las tiendas no oficiales. Facundo Balmaceda cita estudios alarmantes: de 900 aplicaciones de linternas analizadas, la mayoría pedía más de 25 permisos innecesarios.
“Es una táctica conocida. El ciberdelincuente sube una app inofensiva y, pasado un tiempo, la ‘activa’ de forma maliciosa a través de una actualización. Desde SONDA insistimos en que la ingeniería social es lo que realmente dispara la efectividad del fraude. El escenario de un lugar concurrido ayuda, pero la puerta suele abrirla una app maliciosa instalada previamente por el usuario”.
Responsabilidad y el futuro de la confianza
¿Quién paga cuando el robo ocurre? Este es uno de los mayores grises actuales. Si bien los bancos suelen argumentar que el usuario facilitó el ataque al instalar apps falsas, la visión de los especialistas es distinta.
“Desde mi visión, considero que los bancos deberían asumir la responsabilidad. Si el usuario no dio un consentimiento real, la operación es No Autorizada. Culpar al cliente por ataques tan sofisticados no es sostenible legalmente”, afirma Balmaceda.
Para recuperar la confianza total, la solución no es simplemente “apagar el NFC”, una medida que el especialista califica de insuficiente.
“El futuro de la mitigación lo vemos en la Autenticación Contextual. Necesitamos sistemas que entiendan si hay coherencia: ¿es posible que el celular esté en una ubicación y el pago se esté realizando en otra? ¿Hay una latencia extraña en la señal? Además, la biometría debería ser obligatoria para cada transacción, sin excepciones ni ‘ventanas de confianza’” sostienen desde SONDA.
No estamos frente a una crisis de tecnología, sino frente a un desafío de educación. “La IA y el NFC son herramientas poderosas, pero su seguridad siempre tendrá un componente humano que no podemos ignorar”, concluye Balmaceda.
