En los últimos meses, la seguridad en los dispositivos Android se ha visto sacudida por la aparición de amenazas que aprovechan la tecnología NFC (Near Field Communication) para perpetrar fraudes jamás vistos a este nivel. El uso masivo de los sistemas de pago sin contacto, junto a la proliferación de apps bancarias y la creciente confianza en el móvil para todo tipo de gestiones personales, han sido el caldo de cultivo perfecto para que cibercriminales desplieguen malware sofisticado capaz de clonar tarjetas de crédito y débito con una eficacia alarmante. Cada vez más usuarios se preguntan si su móvil está realmente a salvo, y la respuesta probablemente sea más inquietante de lo que imaginan.
El malware NGate y SuperCard X: los nuevos villanos digitales
La comunidad de ciberseguridad llevaba años advirtiendo sobre el potencial peligro de la función NFC en los móviles. Sin embargo, la aparición de NGate y SuperCard X ha puesto de manifiesto que dichas advertencias no eran exageradas. Estos malware representan la evolución lógica del phishing clásico, pero con un nivel de sofisticación nunca antes visto: no se limitan a robar credenciales, sino que son capaces de capturar los datos de la tarjeta bancaria usando el NFC del propio teléfono y retransmitirlos en tiempo real al dispositivo de un criminal.
NGate fue detectado a finales de 2023 por expertos de la firma ESET, tras una serie de ataques que afectaron principalmente a clientes bancarios de República Checa. Por su parte, SuperCard X destaca por su carácter de ‘malware as a service’ (MaaS), es decir, una plataforma que permite a distintos ciberdelincuentes desplegar ataques de forma personalizada y adaptada a cada región, siendo Italia uno de los países más afectados recientemente.
Ambas amenazas actúan de manera similar, pero con matices en su despliegue. Utilizan canales de phishing para engañar a los usuarios y conseguir que instalen apps maliciosas camufladas como servicios de su banco. Al ejecutar esas aplicaciones, la víctima acaba exponiendo su información bancaria, cediendo acceso al módulo NFC de su dispositivo y permitiendo, sin saberlo, que los atacantes clonen sus tarjetas como si estuvieran físicamente presentes.
Por primera vez, estos métodos no requieren que el usuario tenga el móvil rooteado (con permisos de administrador avanzados), lo que aumenta muchísimo el número potencial de afectados. Los atacantes pueden, a través de técnicas de ingeniería social, hacerse con el PIN, la fecha de nacimiento y otros datos críticos del usuario, y usar esa información para retirar dinero en cajeros automáticos o comprar en establecimientos mediante pagos contactless.
¿Cómo se desarrolla un ataque de malware NFC en Android?
La sofisticación de las campañas detectadas reside en la combinación de tácticas tradicionales y técnicas muy innovadoras que, por primera vez, han dado lugar a un escenario de riesgo real para usuarios con un uso normal de su móvil. A continuación, te mostramos las principales fases del ataque:
- Atracción mediante phishing o ingeniería social: Los ciberdelincuentes envían mensajes SMS, WhatsApp o incluso emails que suplantan la identidad de bancos. Alertan de movimientos sospechosos o de la necesidad de verificar una transacción, animando a la víctima a llamar a un número falso o a pulsar un enlace. Es frecuente que los mensajes hagan referencia a problemas en la cuenta o devoluciones de impuestos, aprovechando contextos reales.
- El gancho telefónico: Si la víctima llama, se encuentra con un falso operador que simula ser del soporte bancario. Este «agente» utiliza trucos de persuasión para sonsacar datos sensibles (número de tarjeta, PIN, entre otros), y sugiere a la víctima que elimine los límites de gasto desde la app del banco para “resolver el problema”.
- Descarga de la aplicación maliciosa: El criminal convence al usuario para que instale una app, supuestamente de seguridad o verificación (como “Reader”), que es en realidad el malware (SuperCard X o NGate). La descarga puede producirse a través de enlaces en SMS, correos, webs de phishing, o notificaciones desde el navegador (por ejemplo, usando PWA).
- Acceso al NFC y robo de datos: Una vez instalada, la app solicita permisos para acceder al NFC. El operador (estafador) pide a la víctima que acerque su tarjeta bancaria física al teléfono para “verificarla”. En ese momento, la app lee los datos del chip NFC y los envía al servidor o dispositivo del atacante.
- Replicación y uso fraudulento de la tarjeta: Con los datos robados, el criminal emplea herramientas como Tapper para emular la tarjeta en otro dispositivo Android, pudiendo realizar pagos contactless en tiendas y retiradas de efectivo en cajeros automáticos compatibles con NFC, normalmente por importes bajos que pasan desapercibidos en los controles antifraude.
Lo más preocupante de este proceso es que los antivirus aún no detectan estas amenazas en la mayoría de los casos. SuperCard X, por ejemplo, no aparecía (al cierre de los primeros reportes) en ningún motor de VirusTotal, y Google Play Protect, aunque se considera una barrera, ha demostrado ser insuficiente en algunos casos avanzados.
El papel de la tecnología NFCGate y su relación con los ataques
Originalmente, la herramienta NFCGate fue creada en la Universidad Técnica de Darmstadt como un proyecto de código abierto para que desarrolladores e investigadores pudieran capturar, analizar y transmitir tráfico NFC entre dispositivos. Aunque su aplicación era legítima, los ciberdelincuentes vieron el potencial para explotar NFCGate y crear variantes maliciosas como NGate, adaptando su funcionalidad para fines delictivos.
NFCGate permite capturar la comunicación entre una tarjeta y un terminal, transmitirla a través de un servidor intermedio y emularla en otro dispositivo Android.
Este proceso, conocido técnicamente como ataque de retransmisión NFC, se apoya en la arquitectura y permisos del sistema Android, siendo posible incluso desde móviles no rooteados. Los datos pueden viajar desde el móvil infectado hasta el terminal del atacante en tiempo real, lo que habilita pagos sin contacto y retiradas de efectivo a distancia, sin que el titular de la tarjeta lo sepa.
Escenarios de ataque detectados: desde el phishing a la clonación física de tags NFC
La investigación de ESET y otros especialistas ha sacado a la luz una variedad de escenarios en los que los atacantes pueden explotar la tecnología NFC más allá del simple robo de datos bancarios:
- Campañas de phishing a gran escala: Enviando SMS masivos con enlaces a webs maliciosas que imitan apps bancarias reales, los atacantes logran que las víctimas instalen PWA (aplicaciones web progresivas) o WebAPK diseñadas para robar credenciales y preparar el terreno para la infección de NGate.
- Clonación de tarjetas y tokens NFC de acceso: El malware no solo está diseñado para tarjetas bancarias. También puede robar el UID (identificador único) de tags NFC usados para acceder a edificios, transporte público o áreas restringidas. Un atacante podría emular el identificador y obtener acceso físico a lugares protegidos.
- Pagos pequeños sin contacto: En situaciones de mucha afluencia (transportes, centros comerciales, eventos), los criminales pueden leer tarjetas a través de bolsos o fundas para después clonar la información y ejecutar pagos de bajo importe, ajustándose a los límites de la entidad emisora.
- Robo de tarjetas digitales: Es posible interceptar señales NFC de apps de monedero digital (Google Wallet, Apple Wallet), aunque las medidas de seguridad introducidas por estos sistemas (verificación biométrica o contraseña antes de cada pago) han puesto freno a estos ataques en los móviles más actualizados.
Estos casos demuestran que la amenaza no se limita a bancos concretos, ni siquiera a tarjetas clásicas. Cualquier sistema que emplee NFC queda potencialmente expuesto ante un ataque bien diseñado.
Cómo se distribuye el malware: PWAs, WebAPKs y la trampa de la legitimidad
Una de las grandes innovaciones en la distribución del malware relacionado con NFC es el abuso de PWAs (Progressive Web Apps) y WebAPKs. Frente a las aplicaciones tradicionales, que requieren ser instaladas desde Google Play y conllevan verificaciones, las PWAs permiten que el usuario instale una “app” desde su navegador y la tenga en el escritorio del móvil como si fuera legítima. Los ciberdelincuentes personalizan los iconos y nombres para que imiten a la perfección los de apps bancarias oficiales, y hasta emplean notificaciones o banners que invitan a “proteger tu cuenta” o “actualizar la app”.
El usuario, confiado, instala la PWA o el WebAPK desde un enlace fraudulento, iniciando así el proceso de infección, generalmente sin que se le pidan permisos extraños ni avisos sospechosos. El siguiente paso será el robo de credenciales y la instalación del malware clave, que será el encargado de secuestrar la función NFC.
A este engaño contribuye la falsa percepción de seguridad de quienes solo bajan apps “desde la tienda”, ignorando que los navegadores modernos permiten la instalación de apps web con apenas un clic, y sin ninguna revisión por parte de Google u otra entidad fiable.
El papel de la ingeniería social: la clave del éxito de estos ataques
La inteligencia de estos ataques reside en la habilidad de los criminales para manipular psicológicamente al usuario y convertirlo en cómplice involuntario de su propio robo. Las llamadas y mensajes suplantando a bancos, la presión para actuar con urgencia (“su cuenta está siendo hackeada, llámenos ya”), las webs con apariencia profesional y la narrativa de ofrecer “más seguridad” son elementos diseñados al milímetro para que la víctima baje la guardia.
Un elemento fundamental es el gancho de la llamada telefónica. Aunque muchos fraudes digitales quedan en el mero phishing, la inclusión de un contacto telefónico con operadores que simulan ser empleados de la entidad bancaria resulta terriblemente eficaz para extraer información confidencial, como el PIN, la fecha de nacimiento o el número de cliente, y reforzar la credibilidad de la historia falsa.
En algunas campañas, tras robar las credenciales, los atacantes convencen a la víctima para que desactive los límites de gasto y active la función NFC, bajo diversos pretextos, preparando así el terreno para la clonación de la tarjeta.
¿Dónde se están produciendo estos ataques y cuál es su alcance?
Aunque los primeros informes y análisis detallados proceden de Europa Central (en especial de República Checa e Italia), los expertos coinciden en que el método es exportable a cualquier país donde el pago contactless y las apps financieras estén muy implantadas. El carácter de ‘malware como servicio’ de plataformas como SuperCard X implica que pueden adaptarse a la normativa, idioma y entidades locales de cualquier región, con apenas unos clics y sin grandes conocimientos técnicos.
En España, los principales organismos de ciberseguridad ya han emitido advertencias sobre la amenaza, y aunque todavía no se ha detectado una campaña masiva, se dan todas las condiciones para que el ataque se extienda en cualquier momento. Se han documentado variantes que imitan bancos nacionales y regionales, adaptando los mensajes de phishing a costumbres y acontecimientos locales (por ejemplo, devoluciones de IRPF, campañas de cambio de tarjeta, etc.).
Esta tendencia se ha visto acelerada por la popularización del pago sin contacto, los sistemas de gestión bancaria desde el móvil y la pandemia, que forzó a miles de personas a digitalizarse a toda velocidad. La frontera entre el mundo físico y el digital nunca ha estado tan difusa, ni tan expuesta.
Análisis técnico: ¿Cómo funciona NGate y qué lo hace tan peligroso?
La investigación publicada por y otros expertos revela que NGate se distribuye en forma de APK personalizada, generalmente bajo nombres y logotipos que imitan apps reales de bancos (por ejemplo, “SmartKlic”, “rb_klic”, “george_klic”) y que la infección se produce fuera de Google Play, a través de sitios fraudulentos.
Al instalarse, el malware despliega una WebView (navegador embebido dentro de la app) para mostrar un sitio de phishing y robar credenciales. Posteriormente, solicita permisos clave para monitorizar el estado del NFC, obtener datos del dispositivo e iniciar la transmisión de tráfico NFC si la víctima coloca una tarjeta cerca del teléfono. El malware puede cambiar el servidor al que envía los datos en función de la respuesta recibida, lo que dificulta la detección y el bloqueo por parte de sistemas automáticos.
Indicadores técnicos: muestras, dominios y detecciones
El análisis de los ficheros recopilados ha permitido identificar varios indicadores clave de NGate, como los siguientes nombres de paquete y archivos APK distribuidos:
- csob_smart_klic.apk (varias versiones)
- george_klic.apk, george_klic-0304.apk
- rb_klic.apk
Todas estas apps comparten certificados y parámetros únicos que permiten distinguirlas de aplicaciones legítimas. Los dominios usados para distribuirlas suelen imitar nombres de bancos, como ‘raiffeisen-czeu’, ‘app.mobil-csob-czeu’, o emplear subdominios en servicios gratuitos y proxies en la nube para eludir filtros.
En cuanto a los servidores y direcciones IP asociadas, se han identificado varios pertenecientes a proveedores de hosting internacionales, así como servidores de comando y control alojados en servicios de alojamiento ucranianos y europeos. El uso de Cloudflare como proxy intermediario dificulta la localización y cierre de estos recursos.
¿Por qué no lo detectan los antivirus?
Uno de los factores que hace especialmente peligroso a NGate y SuperCard X es que su código muta constantemente y emplea técnicas de ofuscación para pasar inadvertido ante el software de seguridad. Además, como sus métodos de infección se basan en ingeniería social y la descarga de APK no autorizados, esquivan el control de Google Play Protect y otros sistemas automáticos de validación de apps.
Hasta la fecha de redacción de este artículo, la mayoría de motores antivirus no reconocen estas amenazas o solo lo hacen parcialmente tras recibir muestras, lo que deja a los usuarios indefensos ante la infección inicial. Solo la actualización periódica de las bases de datos y el fortalecimiento de los filtros de detección heurística permitirán revertir esta situación en el futuro.
El futuro de los ataques NFC y el auge del malware-as-a-service
El modelo de malware como servicio (MaaS), que permite a cualquier cibercriminal contratar plataformas como SuperCard X para desplegar ataques personalizados, hace que la amenaza sea aún más global. Los desarrolladores de estos servicios ofrecen asistencia técnica, canales de soporte en Telegram y actualizaciones constantes para burlar las defensas, lo que democratiza el acceso a herramientas avanzadas de fraude.
Los investigadores han encontrado foros y canales donde se promociona la venta de versiones adaptadas a diferentes bancos, regiones e idiomas, así como packs que incluyen tanto el malware como las apps complementarias (por ejemplo, la app Tapper para emular tarjetas).
¿Cómo protegerse frente a malware NFC y estos nuevos métodos de robo?
A la vista de la sofisticación de estos ataques, es fundamental extremar las precauciones, tanto a nivel individual como desde una perspectiva empresarial o institucional. Las recomendaciones más relevantes, según expertos y organismos de ciberseguridad, incluyen:
- Verificar siempre la autenticidad de los mensajes y llamadas recibidas, especialmente si invitan a descargar apps, introducir credenciales o actuar con urgencia.
- No instalar aplicaciones desde enlaces recibidos por SMS, WhatsApp o email. Acudir siempre a la tienda oficial de Google Play para cualquier descarga, y sospechar de apps que prometen “seguridad adicional” o verificación de cuenta.
- Revisar en detalle los permisos solicitados por cada aplicación, especialmente aquellos relacionados con el acceso al NFC y a información personal.
- Mantener actualizado el sistema operativo y el software de seguridad, así como activar funciones de protección avanzada que detecten comportamientos inusuales.
- Desactivar la función NFC cuando no se use, o usar fundas y carteras con blindaje RFID para dificultar el acceso accidental o malicioso a la tarjeta.
- Nunca compartir el PIN ni otros datos sensibles por teléfono o en formularios web, salvo que se esté absolutamente seguro de la identidad del interlocutor.
- Utilizar tarjetas virtuales y sistemas de autenticación biométrica en apps de monedero digital, siempre que sea posible.
Muchas entidades bancarias han comenzado a reforzar sus controles, exigiendo verificaciones adicionales para pagos grandes o cambios de PIN, pero el usuario sigue siendo el primer y último eslabón de la cadena de seguridad.
La importancia de la formación y la vigilancia continua
La batalla contra el malware evoluciona cada semana, y los usuarios deben mantener una actitud crítica ante cualquier comunicación o app nueva, aunque parezca provenir de fuentes fiables. La formación en ciberseguridad básica es ahora más importante que nunca: saber identificar patrones sospechosos, entender cómo funcionan los permisos y reconocer los signos de un ataque pueden marcar la diferencia entre contagiarse o estar protegido.
Además, resulta esencial reportar cualquier incidente sospechoso al banco o entidad correspondiente, así como a las autoridades competentes en ciberseguridad. De esta manera, se puede contribuir a frenar la propagación de nuevas variantes del malware y evitar que otros usuarios resulten afectados.
El auge del pago móvil y la digitalización de la vida cotidiana no tiene marcha atrás, pero tampoco debe conllevar un aumento del riesgo si se aplican las medidas correctas y se mantiene la vigilancia.
Es imprescindible tomar conciencia de que estas amenazas avanzadas, como NGate y SuperCard X, marcan una nueva era en la que los fraudes pueden realizarse sin contacto físico, siempre que los delincuentes tengan acceso a un dispositivo infectado y a la ingeniería social adecuada. La prevención, la actualización constante y la formación en ciberseguridad son clave para reducir los peligros y proteger nuestros recursos financieros y personales.