Un nuevo tipo de amenaza cibernética ha sido expuesta por los investigadores de Cleafy Labs, revelando una operación de fraude financiero altamente sofisticada y potencialmente masiva. El ataque se basa en una herramienta de Malware-as-a-Service (MaaS) llamada SuperCard X, diseñada para realizar ataques de retransmisión NFC (Near Field Communication), y dirigida a robar fondos mediante terminales de punto de venta (POS) y cajeros automáticos sin contacto. Lo más inquietante es que todo esto puede ocurrir sin necesidad de tener físicamente una tarjeta bancaria ni conocer su PIN.
¿Qué es SuperCard X y cómo funciona?
SuperCard X es un malware para Android que permite a los ciberdelincuentes clonar la funcionalidad de una tarjeta bancaria contactless. Utiliza un enfoque que simula el comportamiento legítimo de la tarjeta, permitiendo llevar a cabo transacciones financieras fraudulentas al retransmitir la señal NFC original desde un dispositivo infectado hacia el entorno del atacante.
Lo verdaderamente innovador y peligroso de este malware es su capacidad para explotar la tecnología de retransmisión NFC en tiempo real. Cuando una víctima es engañada para acercar su tarjeta bancaria a un teléfono comprometido, los datos NFC de esa tarjeta se transmiten en vivo a un atacante, que puede estar a kilómetros de distancia. Este, con el equipo adecuado, puede utilizar esa señal para ejecutar transacciones sin contacto en cajeros automáticos o TPV (terminales de pago), como si tuviera físicamente la tarjeta en su poder.
Un servicio al alcance de cualquier ciberdelincuente
SuperCard X se comercializa como un servicio MaaS en foros clandestinos, especialmente en canales de habla china, lo que sugiere una organización cibercriminal bien estructurada detrás de su desarrollo y distribución. Los clientes del servicio no necesitan tener grandes conocimientos técnicos; simplemente pagan una suscripción y obtienen acceso al software, instrucciones y soporte.
Este modelo de negocio ha democratizado el acceso al fraude NFC, haciendo que este tipo de ciberataques no estén reservados únicamente a grupos avanzados de hackers, sino también a actores con menor experiencia que buscan una vía rápida al lucro ilícito.
Ingeniería social: la puerta de entrada
El ataque comienza habitualmente con técnicas de ingeniería social, donde el atacante convence a la víctima para instalar una app maliciosa en su dispositivo Android. Puede tratarse de una aplicación falsa que se hace pasar por un lector de tarjetas, una billetera digital, o incluso por una app de verificación bancaria. Una vez instalada, el atacante persuade al usuario para que acerque su tarjeta bancaria al dispositivo infectado. Aparentemente, se trata de un paso rutinario, pero en realidad es el momento exacto en el que se interceptan los datos NFC.
Este vector de ataque requiere muy poca interacción por parte del usuario, lo que incrementa su eficacia y reduce las probabilidades de que la víctima sospeche.
Baja detección, alta efectividad
Uno de los aspectos más preocupantes de SuperCard X es su capacidad para evadir la detección de los antivirus tradicionales. Los investigadores de Cleafy han señalado que este malware es extremadamente difícil de detectar por soluciones de seguridad móvil, debido a su estructura ligera y al hecho de que no solicita permisos sospechosos. No accede a SMS, llamadas ni ubicación, lo que lo hace menos sospechoso desde el punto de vista del sistema operativo Android y las herramientas de seguridad.
Su diseño está claramente enfocado en un único propósito: transmitir datos NFC de forma rápida y discreta para permitir transacciones remotas.
Alcance global, riesgos reales
El informe de Cleafy no especifica un país o región objetivo, lo que sugiere que esta amenaza tiene un alcance internacional. Cualquier usuario de tarjetas bancarias con funcionalidad contactless es potencialmente vulnerable si instala una aplicación maliciosa. Y no solo los usuarios están en riesgo: las instituciones financieras, los proveedores de tecnología de pago y los emisores de tarjetas también pueden sufrir consecuencias económicas y reputacionales.
El hecho de que el ataque sea capaz de realizar retiros en cajeros automáticos sin tarjeta física añade una nueva dimensión de peligro. Muchos cajeros ya permiten retiros sin contacto, lo que abre la puerta a que los delincuentes puedan vaciar cuentas bancarias con un simple toque virtual.
Recomendaciones de seguridad
Dada la creciente sofisticación de estos ataques, Cleafy ofrece varias recomendaciones clave para usuarios y entidades financieras:
- Evitar instalar aplicaciones de fuentes no verificadas, y limitarse a usar tiendas oficiales como Google Play Store.
- Desconfiar de aplicaciones que soliciten acercar una tarjeta bancaria al móvil, especialmente si no son de instituciones reconocidas.
- Monitorear las transacciones bancarias con frecuencia y reportar inmediatamente cualquier actividad sospechosa.
- Las entidades bancarias deberían reforzar la seguridad de los cajeros y terminales contactless, incluyendo autenticaciones adicionales y detección de patrones anómalos de uso.
El futuro del fraude contactless
SuperCard X representa una evolución peligrosa en el panorama del fraude digital. No solo es un ejemplo de cómo la tecnología NFC puede ser maliciosamente explotada, sino también de cómo el cibercrimen se adapta a los nuevos medios de pago y a los hábitos de consumo digital. El modelo MaaS utilizado por los creadores de este malware es una señal de advertencia clara: el fraude financiero ya no es solo cosa de grandes bandas organizadas, sino también de «emprendedores del crimen» con acceso a herramientas listas para usar.
El informe de Cleafy es una llamada a la acción para que el sector financiero, los desarrolladores de apps, y los usuarios finales tomen medidas más proactivas frente a una amenaza que, literalmente, puede estar en la palma de tu mano.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
