Fraude en pagos sin contacto mediante tecnología NFC: análisis del Relay Attack
- Producto ecollect
- hace 4 horas
- 9 Min. de lectura
La adopción de pagos sin contacto basados en Near Field Communication (NFC) ha crecido de forma exponencial en comercios, transporte y entornos digitales, impulsada por su rapidez y facilidad de uso. Sin embargo, esta misma masificación ha abierto la puerta a ataques de retransmisión (NFC Relay Attacks), que permiten a un atacante ejecutar transacciones legítimas a distancia usando credenciales de pago robadas en tiempo real.
Este artículo explica, en lenguaje accesible pero técnicamente riguroso, cómo funciona este fraude, qué riesgos implica para usuarios y entidades financieras, y qué medidas técnicas y de comportamiento son clave para mitigarlo.
Pagos sin contacto y superficie de ataque
La tecnología NFC permite el intercambio de datos a muy corta distancia (típicamente menos de 4 cm) entre un medio de pago (tarjeta EMV contactless, móvil, wearable) y un terminal de punto de venta (POS). En la práctica, millones de transacciones se procesan cada día sin contacto físico, apoyadas en estándares como EMV y controles adicionales como límites por monto, autenticación por PIN o biometría en el dispositivo.
Aunque la proximidad física es un control de seguridad importante, la investigación en seguridad ha demostrado que es posible extender de forma artificial esa "distancia efectiva" mediante ataques de retransmisión. Estudios académicos y pruebas de concepto han logrado relays a larga distancia entre tarjetas EMV contactless y terminales ubicados a cientos o incluso miles de kilómetros, manteniendo una transacción válida desde la perspectiva de la red de pagos.
¿Qué es un NFC Relay Attack?
Un NFC Relay Attack es una técnica de fraude en la que un atacante intercepta y retransmite, en tiempo real, la comunicación entre un medio de pago NFC legítimo y un terminal de pago, sin necesidad de clonar la tarjeta ni de que el titular interactúe conscientemente con la operación. A diferencia de un simple ataque de skimming o copia estática, el relay se limita a "alargar el cable" entre la tarjeta y el POS, trasladando la sesión legítima a otro lugar.
En términos de roles criptográficos, el atacante se sitúa entre el "prover" (la tarjeta o dispositivo que demuestra autenticidad) y el "verifier" (el terminal que valida la transacción), reenviando de forma transparente los mensajes APDU (Application Protocol Data Unit) que se intercambian durante una compra o retiro. Esto hace que el sistema financiero perciba la operación como completamente regular, dado que los datos y las respuestas criptográficas provienen de un medio de pago genuino.
Funcionamiento técnico del fraude
En un escenario típico de relay NFC se distinguen al menos dos dispositivos bajo control del atacante: un lector/proxy cercano a la tarjeta de la víctima y un emulador/verifier cerca del terminal donde se ejecuta el pago fraudulento.
Las fases principales son:
· Captura de la señal NFC: un lector no autorizado (por ejemplo, un smartphone Android con NFC y una app maliciosa) se sitúa a pocos centímetros de la tarjeta o del móvil de la víctima, en una billetera o bolsillo, y activa una transacción sin que esta lo perciba.
· Transmisión en tiempo real: los comandos APDU leídos se envían de inmediato, a través de internet o una red punto a punto, hacia un segundo dispositivo controlado por el cómplice, que puede estar en otro lugar, incluso otro país.
· Emulación frente al terminal: el segundo dispositivo actúa como si fuera la tarjeta legítima frente a un POS o cajero automático, respondiendo a las peticiones del terminal con las respuestas obtenidas de la tarjeta real mediante el canal de relay.
· Autorización de la operación: como los datos criptográficos y los tokens de pago provienen de un medio genuino, la red emisora los valida y autoriza la operación, salvo que otros controles (límites, monitoreo de fraude, SCA) la bloqueen.
La literatura distingue entre relay pasivo, donde los datos se reenvían sin modificación, y relay activo, en el que el atacante puede intentar alterar el contenido o el timing de los mensajes. En ambos casos, la principal dificultad defensiva reside en que el protocolo EMV original no fue diseñado con mecanismos fuertes de verificación de distancia (distance bounding), lo que hace complicado detectar, solo con tiempos de respuesta, que la tarjeta no está físicamente cerca del terminal.
Caso de estudio: campaña tipo "SuperCard X"
"SuperCard X" puede entenderse como el nombre genérico de una campaña de malware para Android diseñada específicamente para facilitar ataques de retransmisión NFC, siguiendo patrones observados recientemente en muestras reales como NGate, RelayNFC o RatOn.
En este tipo de campañas, el dispositivo de la víctima se convierte en un puente entre la tarjeta física y la infraestructura del atacante:
· El malware se distribuye mediante phishing e ingeniería social, camuflado como app de seguridad bancaria, verificación de tarjeta o herramienta de protección, muchas veces alojada en sitios que imitan portales financieros legítimos.
· Solicita permisos mínimos pero críticos, como acceso a NFC, internet y, en algunos casos, servicios de accesibilidad, con el fin de evadir controles de seguridad y reducir las alertas de los usuarios.
· Una vez instalado, el dispositivo comprometido registra servicios NFC específicos (por ejemplo, HostApduService en Android) y establece un canal de comunicación persistente con un servidor de comando y control o con el dispositivo del atacante.
· Cuando la víctima aproxima su tarjeta al teléfono o realiza un pago contactless con el propio móvil, el malware captura el tráfico NFC y lo reenvía en tiempo real, permitiendo que el atacante complete pagos o retiros fraudulentos en un POS o cajero remoto.
Investigaciones recientes han documentado familias como NGate, que utiliza un componente basado en la herramienta de investigación NFCGate para relayar tráfico NFC desde el móvil de la víctima hacia el dispositivo del perpetrador, y RelayNFC, un malware ligero y evasivo que convierte el teléfono comprometido en un lector remoto prácticamente indetectable para los antivirus tradicionales.
Riesgos específicos para el usuario final
Desde la óptica del titular de la tarjeta, el relay NFC es especialmente peligroso porque no deja señales físicas visibles: no hay pérdida de tarjeta, no hay clonación material y el dispositivo puede parecer funcionar con normalidad. En muchos casos, la detección se produce únicamente cuando el usuario revisa su extracto bancario o recibe notificaciones de cargos que no reconoce.
Entre los principales riesgos destacan:
· Transacciones a distancia sin conocimiento del usuario, incluso mientras la tarjeta permanece en su poder, lo que dificulta la atribución intuitiva del fraude.
· Uso escalonado de microtransacciones para evadir umbrales de monitoreo automático, ejecutando múltiples pagos de bajo monto que pasan desapercibidos hasta acumular un impacto relevante.
· Compromiso adicional de credenciales y datos sensibles, cuando el malware combina relay NFC con superposición de pantallas (overlays), keylogging y robo de frases semilla o PIN de wallets y apps bancarias.
Este tipo de fraude puede afectar tanto a tarjetas físicas como a credenciales tokenizadas en billeteras digitales, dependiendo de cómo la app maliciosa se integre con el subsistema NFC del dispositivo.
Impacto para bancos, fintechs y comercios
Para las instituciones financieras y procesadores de pago, los ataques de relay NFC se traducen en pérdidas directas por transacciones no autorizadas, así como en costos crecientes por reversos, reembolsos y disputas. Adicionalmente, incrementan la carga operativa de los equipos de monitoreo antifraude y de las áreas de investigación forense, que deben analizar patrones complejos y campañas distribuidas.
El impacto reputacional es igualmente crítico: los clientes tienden a responsabilizar a bancos y fintechs cuando perciben que los canales digitales no son capaces de proteger sus medios de pago, lo que puede erosionar la adopción de pagos sin contacto y la confianza en soluciones móviles. Comercios y adquirentes también se ven afectados por contracargos, revisión de terminales y la posible necesidad de reforzar controles físicos y de configuración en sus POS.
Estrategias técnicas de detección y prevención
No existe una única solución que, por sí sola, bloquee todos los escenarios de relay; la evidencia señala que se requiere un enfoque multinivel que combine seguridad en el dispositivo, en la app, en la red de pagos y en la capa de analítica de fraude.
Análisis de integridad del dispositivo y aplicaciones
Las entidades pueden integrar en sus SDK móviles mecanismos de attestation de dispositivo, detección de root/jailbreak, revisión de integridad del runtime y del entorno de red. Adicionalmente, resulta clave identificar apps que registran servicios NFC sensibles o combinan permisos de NFC con accesibilidad y canales de comunicación persistentes (por ejemplo, WebSockets o mensajería cifrada).
Soluciones especializadas han empezado a monitorizar dinámicamente qué aplicaciones solicitan permisos NFC en el momento de inicialización del SDK, para dar visibilidad temprana de apps con potencial de ser weaponizadas, incluso antes de que muestren un comportamiento malicioso explícito.
Monitoreo de permisos NFC y comportamientos anómalos
Desde la capa de riesgo y fraude, es recomendable correlacionar el uso de NFC con otros indicadores de comportamiento, como cambios en el handler de pago predeterminado, activación inusual de NFC o patrones de transacciones contactless desde un mismo dispositivo. Señales como múltiples pagos tap de bajo importe en un intervalo corto o la presencia de apps con servicios como HostApduService y permisos de accesibilidad deberían aumentar dinámicamente la puntuación de riesgo.
Evaluación de coherencia transaccional
La analítica de contexto permite detectar operaciones que, aunque válidas criptográficamente, resultan incoherentes con el perfil habitual del cliente. Entre los atributos a considerar se incluyen geolocalización de dispositivo, país y tipo de comercio, horario, importe, historial de uso de pagos sin contacto y huella del dispositivo (device fingerprint).
Modelos de riesgo transaccional en tiempo real pueden combinar estas señales con información sobre campañas conocidas, listas de dispositivos sospechosos y frecuencia de uso de NFC, desencadenando desafíos adicionales (autenticación fuerte, verificación biométrica, step-up) cuando el riesgo supera cierto umbral.
Modelos predictivos y analítica de comportamiento
Las soluciones modernas de prevención de fraude sobre NFC integran técnicas de machine learning y análisis de comportamiento para identificar patrones sutiles difíciles de capturar con reglas estáticas. Esto incluye modelos que aprenden la forma típica en que un usuario interactúa con su app bancaria, sus rutas de conexión, sus montos frecuentes y su mix de canales, elevando el riesgo cuando se observan desviaciones significativas.
La combinación de comportamiento de usuario, señales de dispositivo y contexto transaccional reduce la dependencia de un único indicador y mejora la detección temprana de campañas de relay en evolución.
Intercambio de inteligencia de amenazas
Organismos reguladores y foros sectoriales recomiendan que proveedores de servicios de pago establezcan mecanismos formales para compartir, en tiempo casi real, información sobre patrones de fraude móvil, indicadores de compromiso y campañas activas. Este intercambio de inteligencia permite a bancos y fintechs reaccionar más rápido ante nuevas familias de malware NFC, actualizar firmas y ajustar modelos de riesgo antes de que el impacto sea masivo.
Recomendaciones prácticas para el usuario final
Aunque gran parte de la mitigación corresponde a las instituciones, el comportamiento del usuario sigue siendo una línea de defensa clave frente a los ataques de relay NFC.
Algunas recomendaciones concretas son:
· Instalar aplicaciones solo desde tiendas oficiales (Google Play, App Store) y desconfiar de archivos APK o enlaces enviados por canales no verificados.
· Revisar cuidadosamente los permisos: desconfiar de apps que solicitan acceso a NFC, accesibilidad o administración del dispositivo sin una justificación clara ligada a su función principal.
· Mantener el sistema operativo y las apps actualizados, ya que muchos parches incluyen mejoras de seguridad para NFC, permisos y detección de malware.
· Habilitar autenticación biométrica y notificaciones en tiempo real para pagos y movimientos, a fin de detectar rápidamente cualquier operación no reconocida.
· Configurar y utilizar factores adicionales de autenticación (MFA) en banca en línea y billeteras, reduciendo el impacto de un posible compromiso del dispositivo.
· Reportar de inmediato cualquier anomalía a la entidad financiera, incluyendo cargos desconocidos, mensajes de seguridad sospechosos o comportamientos extraños en la app bancaria.
Como medida adicional, algunos expertos recomiendan desactivar NFC cuando no se use activamente, especialmente en entornos muy concurridos, para reducir la superficie de ataque a nivel físico.
Recomendaciones para comercios y adquirentes
Los comercios y proveedores de terminales también desempeñan un papel importante en la reducción del riesgo global asociado a pagos sin contacto.
Buenas prácticas recomendadas incluyen:
· Mantener los terminales en ubicaciones visibles y controladas, minimizando el riesgo de manipulación física o sustitución por dispositivos fraudulentos.
· Configurar límites y requerir PIN o verificación adicional por encima de ciertos montos, alineados con la política de riesgo del adquirente y el emisor.
· Asegurar el cumplimiento de estándares de seguridad, como PCI DSS, y aplicar actualizaciones de firmware que mejoren la gestión de NFC y la protección contra ataques de relay.
· Colaborar con bancos y procesadores para compartir información sobre patrones de fraude observados en el punto de venta y participar en programas de monitoreo avanzado.
Conclusiones
El fraude mediante ataques de retransmisión NFC ilustra cómo tecnologías diseñadas para maximizar la conveniencia pueden ser reutilizadas por actores maliciosos cuando no se acompasan con controles de seguridad adecuados. La experiencia reciente con malware como NGate, RelayNFC y otras familias emergentes confirma que los dispositivos móviles son un vector cada vez más relevante para este tipo de ataques.
Mitigar el riesgo exige una combinación de monitoreo avanzado, análisis de comportamiento, hardening de dispositivos y apps, y concientización del usuario final, integrada con modelos de prevención de fraude que operen en tiempo real. En un ecosistema de pagos crecientemente digitalizado, las organizaciones que inviertan de forma proactiva en estas capacidades no solo reducirán sus pérdidas por fraude, sino que también protegerán el activo más valioso en este contexto: la confianza del cliente en los canales de pago sin contacto.
Referencias:
Comentarios