Un equipo de investigadores en ciberseguridad detectó un nuevo tipo de malware que abusa de la tecnología NFC para extraer dinero de cajeros automáticos y realizar transacciones no autorizadas. Se trata de una combinación de técnicas de ingeniería social conocidas junto con un nuevo virus bautizado NGate.
Los ciberatacantes depositan este programa en el teléfono de la víctima, en general a través de SMS maliciosos (“smishing”) que llaman al usuario a instalar una aplicación que, con el logo oficial de un banco o fintech, se hacen pasar por legítimos pero no lo son. Una vez en el dispositivo de la víctima, se inician una serie de pasos para poder clonar el chip NFC.
La tecnología NFC (Near Field Communication), que viene embebida en la mayoría de los teléfonos, administra comunicaciones inalámbricas de corto alcance y se usa para transferir datos entre dispositivos cercanos. La SUBE, por ejemplo, se puede cargar por NFC. Una transacción en un posnet, al acercar una tarjeta contactless, es por NFC.
“El malware NGate explota esta tecnología para realizar ataques de relay, interceptando y retransmitiendo datos NFC leídos por el teléfono desde tarjetas de crédito, permitiendo transacciones no autorizadas. Básicamente, le hace creer al cajero que la tarjeta está físicamente ahí, cuando en realidad es un teléfono que recibe la información de una tarjeta que está en el celular de la víctima”, explicó a Clarín Dan Borgogno, hacker e ingeniero de seguridad en LatuSeguros.
El problema de esta tecnología es que, como puede verse, si bien es muy práctica y -por lo general- segura (en tanto el contacto tiene que ser cercano, precisamente para evitar que alguien pueda “cobrarnos” algo a la distancia sin que nos enteremos), también puede representar un vector de ataque.
Cómo funciona Ngate
El malware opera en segundo plano para ocultarse. Foto: Archivo“El ataque comienza con la entrega del malware NGate, que generalmente se introduce en los dispositivos móviles a través de métodos de ingeniería social, como correos electrónicos de phishing, mensajes SMS o la descarga de aplicaciones maliciosas disfrazadas de software legítimo. Una vez instalado, NGate se establece en el dispositivo y se configura para operar en segundo plano de manera silenciosa”, explicó en diálogo con este medio Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Esta dinámica de operar en segundo plano es típica de los troyanos bancarios, una de las amenazas más grandes del mundo de los bancos: programas que imitan a aplicaciones legítimas y que, una vez que el usuario introduce sus credenciales de acceso, las capturan.
“La funcionalidad clave de este código malicioso radica en su capacidad para interceptar la comunicación NFC en el dispositivo comprometido, explotando esta tecnología al capturar los datos transmitidos cuando una tarjeta de pago se utiliza cerca del dispositivo infectado. Esto incluye información sensible como el número de la tarjeta o su fecha de vencimiento, siguió la especialista.
Luego de que NGate logró capturar estos datos, el atacante puede replicar esa señal NFC, enviarla a los servidores controlados por los atacantes y realizar compras fraudulentas o retirar dinero. “Además, NGate puede estar acompañado por otros componentes maliciosos que refuerzan su presencia en el dispositivo, asegurando que el malware no sea eliminado fácilmente y que los datos sigan fluyendo hacia los atacantes de manera continua”, agregó López.
“Este ataque fue detectado en República Checa, pero dada la naturaleza global de los ciberataques y la facilidad con la que las herramientas y técnicas pueden ser compartidas en foros cibercriminales (en forma gratuita o de pago), es completamente posible que este tipo de amenaza llegue a la región. Además, la adopción de la tecnología NFC en Latinoamérica está en crecimiento, lo que podría atraer a ciberdelincuentes interesados en replicar este modelo de ataque”, cerró López.
Medidas de seguridad: cómo evitar caer en estos ataques
NFC, la tecnología que explota el ataque. Foto ArchivoLa especialista de ESET repasó junto a Clarín una serie de medidas que pueden ayudar a mitigar estos ataques. Más allá de que se lean sofisticados y complejos, este tipo de campañas son más comunes que lo que los usuarios creen, por lo que no está de más tomar precauciones para evitar este tipo de vaciamiento de cuentas.
En primer lugar, los usuarios deben ser extremadamente cautelosos al instalar aplicaciones en sus dispositivos móviles. Es recomendable descargar software únicamente de tiendas oficiales, como Google Play Store o Apple App Store, y evitar aplicaciones de fuentes desconocidas o sospechosas, que son a menudo vehículos para la entrega de malware.Además, mantener el sistema operativo y las aplicaciones del dispositivo actualizadas es crucial, ya que las actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades explotables por malware como NGate. Desactivar el NFC cuando no se esté utilizando es otra medida preventiva eficaz, ya que reduce la ventana de oportunidad para que el malware capture datos sensibles.Las soluciones de seguridad móviles también juegan un papel esencial. El uso de herramientas de detección de malware actualizados puede ayudar a identificar y neutralizar amenazas antes de que comprometan la seguridad del dispositivo. La implementación de medidas anti-phishing también es importante, ya que muchas infecciones comienzan con un engaño que induce al usuario a descargar software malicioso.Finalmente, la concientización del usuario es clave. Entender cómo funcionan estos ataques y estar alerta ante comportamientos inusuales del dispositivo, como un incremento en el consumo de batería o la aparición de aplicaciones desconocidas.