El ecosistema de pagos sin contacto vive una contradicción incómoda: mientras bancos y comercios impulsan el tap to pay como opción rápida y segura, los ciberdelincuentes están demostrando que también puede ser una vía de ataque muy rentable. El último ejemplo llega desde Brasil y tiene nombre propio: RelayNFC, una nueva familia de malware para Android capaz de transformar un teléfono móvil en un lector remoto de tarjetas bancarias.
Investigadores de Cyble Research and Intelligence Labs (CRIL) han documentado una campaña activa y en evolución que utiliza RelayNFC para llevar a cabo ataques de relay NFC en tiempo real, con un objetivo claro: realizar pagos fraudulentos como si la tarjeta física de la víctima estuviera presente en el terminal de cobro.
La amenaza no es teórica ni un simple prototipo: el código está en circulación, los servidores de mando y control están activos y, lo más preocupante, las muestras analizadas siguen sin detecciones en VirusTotal, lo que indica que la mayoría de soluciones de seguridad móviles aún no lo están identificando.
Cómo funciona RelayNFC: del phishing al robo en tiempo real
La campaña se apoya en una estrategia clásica: phishing bien diseñado y geolocalizado a Brasil. Los usuarios llegan a páginas falsas en portugués que se presentan como servicios para “proteger” o “asegurar” su tarjeta. Desde ahí se les invita a descargar una app Android maliciosa.
Los investigadores han encontrado al menos cinco dominios distintos con diseño similar y un mismo objetivo: distribuir el APK de RelayNFC bajo distintos nombres, pero siempre con la misma función.
Una vez instalada la aplicación, el proceso es claro y peligroso:
- Pantalla trampa con NFC
La app muestra una interfaz en la que pide al usuario que acerque su tarjeta bancaria al móvil, con mensajes del estilo “aproxime o cartão”. El teléfono se comporta entonces como lector NFC, leyendo los datos de la tarjeta. - Robo del PIN
Tras capturar la información de la tarjeta, la aplicación presenta otra pantalla que solicita al usuario su PIN de 4 o 6 dígitos, supuestamente para “verificar” o “activar” la seguridad. Ese PIN se envía directamente al servidor de los atacantes. - Canal de relay en tiempo real
Aquí está el núcleo técnico de RelayNFC. El malware establece una conexión WebSocket persistente con el servidor de mando y control. A través de este canal, el dispositivo infectado actúa como intermediario entre la tarjeta física de la víctima y el terminal de pago del atacante.- El servidor envía órdenes APDU (los comandos estándar que usa un datáfono para hablar con la tarjeta).
- El malware traduce esas órdenes y las pasa al chip NFC del móvil, que está leyendo la tarjeta real.
- La tarjeta responde, el móvil captura la respuesta y la reenvía al servidor, que completa la transacción en su propio entorno.
En la práctica, es como si el datáfono del delincuente estuviera conectado por un “cable invisible” a la tarjeta de la víctima, sin que esta lo sepa.
Un diseño pensado para evadir análisis
RelayNFC no es un experimento improvisado. Los analistas destacan varias decisiones técnicas que complican su detección y estudio:
- La aplicación está desarrollada en React Native, de modo que gran parte de la lógica está empaquetada en un único archivo
index.android.bundle. - En lugar de incluir JavaScript legible, ese bundle está compilado en bytecode Hermes, un formato mucho más difícil de analizar con herramientas estáticas habituales.
- El malware funciona con pocos permisos y componentes visibles en el manifest de Android, lo que reduce sospechas y hace que pase más desapercibido en un análisis superficial.
Además, CRIL ha identificado una variante relacionada que incluye una clase RelayHostApduService basada en Host Card Emulation (HCE). Este mecanismo permite que el móvil emule una tarjeta en lugar de actuar como lector, abriendo la puerta a nuevos tipos de relay o fraude. En la muestra analizada, el servicio HCE no estaba completamente activado, lo que apunta a un desarrollo en curso y a futuras versiones más sofisticadas.
Por qué Brasil… y por qué esto importa al resto del mundo
Brasil se ha convertido en los últimos años en campo de pruebas para nuevas amenazas financieras: troyanos bancarios, malware para apps de fintech y ahora malware de relay NFC. Campañas como Ngate, SuperCardX o PhantomCard ya habían mostrado el interés creciente del cibercrimen por explotar los pagos sin contacto.
RelayNFC es un paso más en esa escalada:
- Usa técnicas de desarrollo modernas (frameworks móviles, motores de ejecución optimizados).
- Apunta directamente a pagos EMV contactless, el estándar global.
- Aprovecha patrones de uso normales: acercar la tarjeta al móvil parece una acción lógica si la app se presenta como una herramienta de seguridad.
Aunque la campaña actual se centra en Brasil, la tecnología y el enfoque son fácilmente exportables a otros países donde los pagos sin contacto y los móviles Android están muy extendidos. No es una amenaza local, sino un aviso.
Cómo pueden protegerse los usuarios
Los investigadores y expertos en ciberseguridad recomiendan varias medidas básicas pero efectivas:
- Instalar apps solo desde Google Play o tiendas oficiales, nunca desde enlaces en SMS, correos o páginas “milagro” de seguridad.
- Desconfiar de cualquier app que pida acercar la tarjeta al móvil si no es la app oficial del banco o del proveedor de pagos.
- Revisar con atención los permisos: una aplicación para “ver el saldo” o “asegurar la tarjeta” no debería necesitar acceso avanzado a NFC sin una razón muy clara.
- Mantener NFC desactivado cuando no se esté usando para pagar, reduciendo la superficie de ataque.
- Activar la autenticación en dos pasos en apps de banca y servicios financieros, para añadir una capa extra incluso si el PIN o los datos de tarjeta se ven comprometidos.
- Contactar de inmediato con el banco y, si es necesario, con las autoridades, en caso de movimientos sospechosos o sospecha de instalación de apps fraudulentas.
Qué deberían hacer bancos y comercios
Para el sector financiero, RelayNFC es una llamada de atención sobre un vector de ataque que hasta ahora se consideraba menos probable: relay en tiempo real desde el propio móvil de la víctima.
Entre las medidas recomendadas:
- Refuerzo de sistemas antifraude específicos para pagos contactless, detectando patrones anómalos (geolocalización, tipo de dispositivo, secuencias de transacciones).
- Mejora de los sistemas de detección de troyanos bancarios y apps maliciosas mediante colaboración con proveedores de seguridad y threat intelligence.
- Priorización de campañas de educación al usuario explicando que la entidad nunca pedirá acercar la tarjeta al móvil ni introducir el PIN en aplicaciones no oficiales.
Preguntas frecuentes
¿Qué es exactamente RelayNFC?
RelayNFC es un malware para Android identificado por Cyble Research and Intelligence Labs que convierte el teléfono de la víctima en un lector NFC remoto. A través de una conexión en tiempo real con el servidor del atacante, permite ejecutar pagos sin contacto como si la tarjeta física estuviera presente en el datáfono del delincuente.
¿Cómo llega RelayNFC a los móviles de las víctimas?
Se distribuye principalmente mediante páginas web de phishing en portugués que se hacen pasar por servicios de seguridad de tarjetas. Desde esos sitios se invita al usuario a descargar e instalar una aplicación Android que, en realidad, es el malware.
¿Son seguros los pagos contactless con tarjeta o móvil?
La tecnología EMV contactless sigue siendo, en general, segura, pero no es invulnerable. Ataques como RelayNFC demuestran que, si el móvil está comprometido y el usuario es engañado, los delincuentes pueden abusar del canal NFC. Mantener el dispositivo limpio de malware y desactivar NFC cuando no se usa son medidas clave.
Cómo proteger mi tarjeta y mi móvil frente a RelayNFC y otros malware de NFC?
Algunas buenas prácticas son: instalar solo aplicaciones desde tiendas oficiales, desconfiar de apps que pidan acercar la tarjeta al móvil, mantener el sistema actualizado, usar soluciones de seguridad móvil reputadas, activar notificaciones de operaciones en la app del banco y desactivar NFC salvo para realizar pagos concretos.
Fuentes:
Cyble Research and Intelligence Labs (RelayNFC), SecurityOnline, investigaciones previas sobre malware NFC como Ngate, SuperCardX y PhantomCard.
