NGate: malware que usa tu celular NFC para robar en cajeros

NGate en Brasil: el malware que convierte tu celular en repetidor NFC para robar en cajeros

El 21 de abril de 2026, ESET Research publicó un informe sobre una nueva variante del malware NGate. Esta versión está activa principalmente en Brasil y convierte el celular de la víctima en un repetidor NFC para “teletransportar” los datos de la tarjeta de crédito al celular del atacante.

💡 El concepto en un minuto
NGate troyaniza una app legítima llamada HandyPay (una aplicación real de relay NFC disponible desde 2021). La versión maliciosa lee los datos de tu tarjeta física cuando la acercás al celular y los envía por internet al atacante, quien puede usarla en un cajero o pago contactless como si tuviera tu tarjeta en la mano.
Analogía simple:
Es como si un ladrón usara tu celular como un “puente inalámbrico”: vos acercás tu tarjeta al teléfono (pensando que estás haciendo algo normal) y la señal viaja por internet hasta el celular del delincuente, que la pasa por el cajero.

🔍 ¿Qué hace exactamente esta variante?

  • ✔️ App troyanizada: Modificaron la app legítima HandyPay. Se ve y funciona como la original, pero contiene código malicioso.
  • ✔️ Relay NFC: Convierte tu celular en un repetidor que envía los datos de la tarjeta al atacante en tiempo real.
  • ✔️ Robo de PIN: Muestra pantallas falsas para que ingreses tu PIN, que luego envía al servidor de comando y control.
  • ✔️ Uso de IA: El código malicioso muestra indicios de haber sido asistido o generado con herramientas de Inteligencia Artificial, lo que lo hace más difícil de detectar.
⚠️ Cómo se distribuye
Principalmente a través de un sitio falso de lotería (estilo “Rio de Prêmios”) que promete un premio y redirige a WhatsApp o a una página que imita Google Play para descargar una “app de protección de tarjetas”. La app infectada nunca estuvo en la Play Store oficial.

🛡️ ¿Qué tenés que hacer hoy?

  • ✔️ Desactivá el NFC cuando no lo uses (Ajustes → Conexiones → NFC y pagos sin contacto).
  • ✔️ No instales apps fuera de la Play Store oficial. Desactivá “Fuentes desconocidas”.
  • ✔️ Revisá las apps instaladas y desinstalá cualquier cosa que no reconozcas (buscá “HandyPay” o apps de pago sospechosas).
  • ✔️ Activá Google Play Protect y mantené el celular actualizado.
  • ✔️ Si usás apps de banca o pago, verificá las sesiones y dispositivos vinculados.

❌ Mitos frecuentes

  • ❌ “Si la app parece legítima, estoy seguro” → La usaron una app real (HandyPay) y la modificaron.
  • ❌ “Mi antivirus lo detecta siempre” → El código optimizado con IA ayuda a evadir detecciones tradicionales.
  • ❌ “Solo afecta a Brasil” → Está enfocado allí por ahora, pero las técnicas NFC están expandiéndose en la región.

📚 Glosario rápido

Relay NFC
Técnica que “extiende” la señal de una tarjeta contactless a través de internet para usarla en otro lugar.

App troyanizada
Una aplicación legítima a la que se le agrega código malicioso sin que el usuario lo note.

PIN overlay
Pantalla falsa que se superpone a la app real para robar el código PIN.

¿Te sirvió esta alerta?

Investigar y traducir informes técnicos como el de ESET lleva tiempo. Si valorás estas alertas claras y prácticas para Latam, podés apoyar mi trabajo independiente:

☕ Invitar un Cafecito 💳 Donar con PayPal

Ciberseguridad Directa — Pequeñas acciones para una vida digital más segura.

Comentarios

Publicar un comentario

💬 Comentá con respeto.
No publiques datos personales ni enlaces promocionales.
Los mensajes se moderan antes de publicarse.

Entradas populares de este blog

Guía completa sobre grooming

Imagen
Grooming: guía completa para padres y para que tu hijo la lea Qué vas a encontrar: definición clara, tipos de grooming, señales para detectar, pasos concretos para actuar como padre/madre o tutor, recomendaciones directas para que los menores comprendan y una lista de dónde denunciar por país. ¿Qué es el grooming? El grooming es el proceso mediante el cual un adulto se gana la confianza de una niña, niño o adolescente con el objetivo de abusar sexualmente, explotarlo o inducirlo a producir y compartir imágenes o videos de contenido sexual. Suele comenzar con un acercamiento en redes sociales, juegos, apps o chats, y termina construyendo una relación de manipulación y control. 0 Tipos y fases del grooming (explicado simple) Contacto inicial: el agresor crea un perfil falso o se hace pasar por alguien de la misma edad para iniciar la conversación. Construcción de confianza: demuestra interés, comparte supuestos sentim...
Leer más

Extensiones de Chrome robando accesos a ChatGPT en 2026

Imagen
Extensiones de Chrome abusando de enlaces de afiliados y robando accesos a ChatGPT – alerta 2026 Investigadores de seguridad alertaron en enero 2026 sobre campañas donde extensiones aparentemente inofensivas de Google Chrome insertaban enlaces de afiliados sin permiso, redirigían compras y, en casos más graves, robaban sesiones activas de servicios como ChatGPT (incluyendo chats completos y tokens de acceso). Estas extensiones se disfrazaban de bloqueadores de anuncios, conversores de archivos o utilidades de productividad con IA (sidebars para ChatGPT, Claude, etc.), pero ejecutaban código oculto para monetizar tráfico y espiar navegación. En campañas recientes acumularon más de 900.000 instalaciones antes de ser detectadas. Punto clave: no hace falta que una extensión sea un “virus clásico”. Con permisos amplios sobre las páginas web (“leer y cambiar todos los datos en los sitios que visitas”), puede observar y modificar todo lo que hacés en el navegador. Qué descu...
Leer más

Tabnabbing: Cómo roban tus claves secuestrando pestañas

Imagen
Tabnabbing: el ataque que secuestra una pestaña del navegador ¿Qué es el tabnabbing? Tabnabbing es un tipo de ataque web cuyo nombre en inglés puede traducirse como “secuestro de pestañas del navegador” . Significado: tab = pestaña  |  nabbing = robar o secuestrar. 👉 En la práctica: una página que abriste cambia cuando no la mirás y se convierte en una falsa. El objetivo es simple: que ingreses tu contraseña creyendo que estás volviendo a un sitio legítimo como Gmail, Facebook, Instagram o tu banco. Cómo funciona el ataque El escenario típico es este: Abrís una página desconocida en una pestaña nueva. La dejás en segundo plano. Minutos después, esa página cambia automáticamente. Cuando volvés, ves un supuesto “inicio de sesión”. Ingresás tu contraseña… y se la enviás al atacante. El truco está en que **la transformación ocurre cuando no estás mirando**. Por qué engaña tan bien La pestaña mantiene el...
Leer más