De acuerdo con las estadísticas que maneja la Divindat, la División de Investigación de delitos de Alta Tecnología de la Policía Nacional del Perú (PNP), hasta agosto del 2024 se tenía registrados 27,934 denuncias, con el Fraude informático (19,067) como la principal actividad perpetrada. El fraude informático agravado llegó a 706 denuncias.
Muchos de estos eventos denunciados han tenido lugar gracias a estrategias de engaño que se han recibido en el celular. O fueron víctimas usando tecnologías ligadas al celular ¿Cuáles son los riesgos a los que está expuesto el usuario móvil? Varios, empezando por los falsos códigos QR, según ha advertido la PNP.
El código QR (“Quick Response”), es la evolución del código de barras y permite, al escanearlo, ver información de forma rápida. A través de este código, se puede pagar compras desde el celular sin manipular dinero. Y con el auge de las billeteras móviles, que poseen más de la mitad de los peruanos, su uso se ha extendido.
| MODALIDADES | ENE – AGO 2024 |
|---|---|
| Fraude informático | 19,067 |
| Suplantación de identidad | 6,196 |
| Acceso ilícito | 724 |
| Fraude informático agravado | 706 |
| Otros delitos | 1,241 |
| TOTAL | 27,934 |
Elaboración propia
Los códigos QR requieren que el usuario lo escanee con la cámara del móvil. En tiendas formales – y vendedores informales – encontramos unas calcomanías con el código. El problema es que muchos delincuentes han ideado unos stickers con un QR falso que pegan sobre los originales y redirigen el pago a páginas o teléfonos de los delincuentes.
A esta modalidad se le conoce como Qhishing, porque es una evolución del phishing que afecta tanto a comerciantes de mercado o bodegas como a los clientes, que terminan pagando sus compras a los delincuentes sin percatarse del engaño que conlleva la imagen falsificada del código QR.
Nuevas amenazas
Desde ESET han advertido de otra amenaza que puede extenderse en la región ahora que se puede pagar con el celular utilizando la tecnología NFC. A diferencia de los códigos QR, en esta tecnología no necesitas escanear una etiqueta, sino acercar el teléfono al punto de pago (POS) para que se cobre el dinero de la compra.
Según ESET, los atacantes pudieron clonar datos NFC de las tarjetas de pago físicas de las víctimas utilizando NGate y retransmitir estos datos al dispositivo de un atacante.
NFC es una forma de enlace inalámbrico entre el teléfono y otro dispositivo. Como el Bluetooth, pero con una interconexión más rápida. NFC significa “Near Field Communication” o Comunicación de Campo Cercano. Funciona por proximidad, cuando acercas un dispositivo a otro, usando bandas de frecuencia altas. Si se trata de leer una etiqueta, no la escanea, solo se acerca a ella y listo.
En el país se ha visto que muchos delincuentes, ahora que existe la posibilidad de pagar sin necesidad de pasar una tarjeta de crédito o débito sobre el lector del POS del negocio, usan su propio POS para robar montos pequeños a personas que se encuentran en lugares concurridos y que no notan el contacto entre su celular o billetera con el POS del delincuente.
Pero existen otros riesgos más. El equipo de investigación de ESET, informó que han descubierto una campaña que fue dirigida a clientes de distintos bancos con el objetivo de facilitar retiros no autorizados de cajeros automáticos de las cuentas de las víctimas.
El software empleado tiene por nombre NGate, un nuevo tipo de malware que tiene la capacidad de transmitir datos de las tarjetas al teléfono Android del delincuente. Lo hace a través de una aplicación maliciosa instalada en el dispositivo Android de la víctima.
ESET detalló que el grupo de delincuentes que diseñó este ataque operaba desde noviembre del 2023 en Chequia, pero a partir de marzo del 2024 mejoraron su forma de delinquir. Los atacantes combinaron técnicas maliciosas estándar (ingeniería social, phishing y malware para Android) en un nuevo escenario de ataque, suplantando a los bancos para obtener datos de los clientes.
Según ESET, los atacantes pudieron clonar datos NFC de las tarjetas de pago físicas de las víctimas utilizando NGate y retransmitir estos datos al dispositivo de un atacante, que luego pudo emular la tarjeta original y retirar dinero de un cajero automático.
