Los pagos sin contacto se integraron de forma casi imperceptible a la vida cotidiana. Un teléfono apoyado sobre el lector, una tarjeta que apenas se acerca a la terminal y la transacción queda cerrada en segundos. Esa misma simplicidad es la que hoy concentra la atención de los equipos de ciberseguridad, frente a una técnica de fraude que no necesita forzar sistemas ni vulnerar chips: el ataque por retransmisión NFC, conocido como Relay Attack.
En este escenario, la amenaza no pasa por una falla estructural de la tecnología contactless, sino por la forma en la que los dispositivos son utilizados y configurados. Así lo explica Facundo Balmaceda, especialista en ciberseguridad de SONDA Argentina, quien advierte que el vector de ataque se apoya más en el comportamiento del usuario que en debilidades del hardware.
Cómo funciona el fraude por retransmisión NFC
A diferencia de otros métodos de robo digital, el Relay Attack no implica clonar tarjetas ni romper sistemas criptográficos. Se basa en extender artificialmente la distancia entre una tarjeta o teléfono legítimo y el lector de pago.
"No estamos ante un sistema que clona tarjetas, sino ante un puente digital", explica Facundo Balmaceda, especialista en ciberseguridad de SONDA Argentina. "El atacante utiliza un celular para captar la señal de tu tarjeta o teléfono cuando estás a solo 5 o 10 centímetros de distancia. Esa información se envía por internet a otro dispositivo que está frente a un lector de pago en cualquier otra parte del mundo. El sistema 'cree' que la tarjeta está ahí, y la transacción se completa sin que nadie note nada extraño".
El procedimiento ocurre en tiempo real y aprovecha la velocidad del intercambio NFC. Desde el punto de vista del sistema de pagos, no hay inconsistencias evidentes: la operación cumple con los parámetros esperados y se procesa como válida.
El rol del usuario y las apps como puerta de entrada
Desde el área de ciberseguridad de SONDA señalan que este tipo de fraude no explota una falla técnica del chip NFC, sino funciones legítimas habilitadas por el propio usuario.
"En SONDA Argentina analizamos que la seguridad depende críticamente de cómo se usa la tecnología. Los atacantes no buscan fallas masivas en el hardware, sino que desarrollan aplicaciones que se camuflan como herramientas inofensivas. Al instalar una app de linterna o calculadora que pide permisos de NFC o accesibilidad, el usuario le está entregando las llaves de su billetera al delincuente", señala Balmaceda.
Herramientas como NFCGate, creadas originalmente con fines académicos y de investigación, hoy forman parte del repertorio de los atacantes. Según el especialista, su efectividad radica en que no alteran el funcionamiento del chip, sino que operan sobre las APIs disponibles en Android, aprovechando permisos otorgados sin una evaluación consciente.
Ingeniería social y tiendas no oficiales
El riesgo se incrementa cuando las aplicaciones se descargan desde repositorios alternativos. En esos entornos, el control sobre permisos y comportamientos maliciosos es menor.
"Es una táctica conocida. El ciberdelincuente sube una app inofensiva y, pasado un tiempo, la 'activa' de forma maliciosa a través de una actualización. Desde SONDA insistimos en que la ingeniería social es lo que realmente dispara la efectividad del fraude. El escenario de un lugar concurrido ayuda, pero la puerta suele abrirla una app maliciosa instalada previamente por el usuario".
Balmaceda cita estudios que muestran el alcance del problema: en análisis realizados sobre cientos de aplicaciones de linterna, una gran parte solicitaba más de 25 permisos innecesarios para su funcionamiento básico, entre ellos acceso a NFC y servicios de accesibilidad.
Responsabilidad, bancos y medidas a futuro
El impacto del fraude por retransmisión también abre un debate sobre la responsabilidad cuando la operación se concreta sin consentimiento real del usuario. Para Balmaceda, la discusión no puede recaer exclusivamente sobre quien sufrió el robo.
"Desde mi visión, considero que los bancos deberían asumir la responsabilidad. Si el usuario no dio un consentimiento real, la operación es No Autorizada. Culpar al cliente por ataques tan sofisticados no es sostenible legalmente".
En cuanto a la mitigación, el especialista descarta soluciones simplistas como desactivar el NFC de forma permanente. El foco, afirma, debe estar en mecanismos de validación más avanzados.
"El futuro de la mitigación lo vemos en la Autenticación Contextual. Necesitamos sistemas que entiendan si hay coherencia: ¿es posible que el celular esté en una ubicación y el pago se esté realizando en otra? ¿Hay una latencia extraña en la señal? Además, la biometría debería ser obligatoria para cada transacción, sin excepciones ni 'ventanas de confianza'".
El desafío, concluye, no es tecnológico sino educativo. "La IA y el NFC son herramientas poderosas, pero su seguridad siempre tendrá un componente humano que no podemos ignorar".