Madrid, 13 de mayo de 2025 — El mundo digital vuelve a estar en alerta. Una nueva amenaza informática ha emergido con una sofisticación alarmante: SuperCard X, un malware de última generación que se infiltra a través de WhatsApp en dispositivos Android con el objetivo directo de robar datos bancarios y vaciar cuentas sin que el usuario se percate. Este troyano no es un simple virus más; se trata de una herramienta compleja, desarrollada con precisión, que está poniendo a prueba los límites de la ciberseguridad a nivel global.

Un ataque que comienza con un mensaje familiar

Todo inicia con un simple mensaje de texto o de WhatsApp. El contenido simula proceder de una entidad bancaria reconocida y comunica una supuesta transacción sospechosa. El mensaje, redactado con una apariencia profesional, invita al usuario a llamar a un número de teléfono específico para resolver una supuesta incidencia. Aquí comienza la trampa.

Al otro lado del teléfono no se encuentra un operador legítimo, sino un estafador experto que interpreta su papel con gran convicción. Tras convencer al usuario de que su cuenta está en riesgo, le solicita datos confidenciales como el número de su tarjeta bancaria y el código PIN. Pero eso no es todo: como “medida de seguridad”, le insta a instalar una aplicación aparentemente inofensiva llamada Reader.

Reader: la puerta de entrada de SuperCard X

Esta aplicación maliciosa, una vez instalada, solicita permisos mínimos para evitar levantar sospechas. Sin embargo, uno de estos permisos es crucial: el acceso al módulo NFC (Near Field Communication), un sistema que permite la transmisión de datos a corta distancia entre dispositivos.

Este acceso es el punto crítico. Una vez otorgado, el malware se activa y le solicita a la víctima que acerque su tarjeta bancaria al teléfono. El usuario, confiado y convencido de que está en una llamada legítima con su banco, sigue las instrucciones. En ese instante, SuperCard X lee los datos del chip de la tarjeta y los envía directamente a los delincuentes.

El siguiente paso: duplicación de tarjetas y pagos ilegales

Los datos robados son transferidos a otro dispositivo Android, controlado por los atacantes, que utiliza una aplicación denominada Tapper. Esta app replica la tarjeta bancaria original utilizando la información sustraída y permite realizar pagos mediante tecnología NFC en comercios y cajeros automáticos.

Todo el proceso está diseñado para pasar desapercibido. Los límites de pago implementados por Tapper simulan operaciones legítimas, lo que reduce drásticamente la probabilidad de ser detectados por los sistemas antifraude de las entidades financieras. El usuario, por su parte, puede tardar días o incluso semanas en notar movimientos sospechosos, momento en el cual ya se ha producido el robo.

Un enemigo sofisticado y difícil de detectar

Una de las características más inquietantes de SuperCard X es su capacidad de evasión. Según análisis especializados, más de 60 antivirus diferentes no han logrado detectarlo, lo que lo convierte en uno de los malwares más indetectables registrados hasta la fecha.

Esta sofisticación no es accidental. SuperCard X ha sido vinculado a actores maliciosos con origen en China, quienes, a través de foros privados en canales de Telegram, ofrecen soporte técnico, actualizaciones del malware y orientación sobre cómo emplearlo eficazmente. Este “ecosistema” de soporte eleva el nivel de amenaza, ya que permite a ciberdelincuentes sin conocimientos técnicos usar la herramienta con gran eficacia.

Objetivos internacionales y expansión silenciosa

Aunque se han reportado los primeros casos en Italia, se cree que la distribución de SuperCard X ya ha comenzado a extenderse por diversos países europeos y latinoamericanos. El uso de WhatsApp, una de las aplicaciones de mensajería más populares del mundo, facilita esta expansión al ofrecer un canal ideal para la ingeniería social y el contacto directo con posibles víctimas.

Además, el uso de mensajes SMS fraudulentos permite abarcar un espectro aún más amplio de usuarios. Esto amplifica el riesgo de que el malware llegue a millones de dispositivos Android alrededor del planeta.

La ingeniería social como arma principal

Uno de los pilares del éxito de SuperCard X radica en el uso estratégico de la ingeniería social. Este tipo de ataque no depende tanto de vulnerabilidades técnicas como del comportamiento humano. El miedo a perder dinero, el respeto hacia las instituciones bancarias y la urgencia percibida son emociones que los delincuentes manipulan para lograr que el usuario coopere voluntariamente.

El hecho de que sea el propio usuario quien instala la app maliciosa y concede los permisos necesarios, elimina la necesidad de explotar fallos de seguridad en el sistema operativo o el dispositivo, haciéndolo aún más difícil de bloquear mediante soluciones tradicionales.

Recomendaciones clave para usuarios de Android

Ante esta amenaza, se recomienda a todos los usuarios de Android —especialmente aquellos que utilizan servicios bancarios desde su dispositivo móvil— seguir una serie de pautas preventivas para evitar convertirse en víctimas de SuperCard X:

1. Nunca instalar aplicaciones fuera de las tiendas oficiales. Reader no está disponible en Google Play Store, lo que ya constituye una señal de alerta.

2. Desconfiar de mensajes que pidan datos personales. Ningún banco legítimo solicitará tu PIN o número de tarjeta por WhatsApp o teléfono.

3. No acercar la tarjeta bancaria al teléfono salvo con aplicaciones seguras y verificadas. Esta solicitud es un indicio claro de manipulación.

4. Instalar aplicaciones de seguridad confiables. Aunque SuperCard X logra evadir muchos antivirus, tener una capa de protección puede ayudar en otros aspectos.

5. Revisar regularmente los permisos concedidos a las aplicaciones. Si una app sin relación con pagos solicita acceso a NFC, GPS o cámara, podría tratarse de una amenaza.

Un modelo de fraude cada vez más automatizado

El enfoque de SuperCard X evidencia una tendencia preocupante: la automatización del fraude. Gracias a herramientas como Tapper y redes de distribución en Telegram, los ataques ya no dependen únicamente de individuos expertos, sino que pueden ser ejecutados por actores con un conocimiento técnico limitado.

Este modelo reduce la barrera de entrada al mundo del cibercrimen, multiplicando el número de atacantes y aumentando la presión sobre los usuarios, las instituciones y los organismos encargados de la ciberseguridad.

Impacto económico y preocupación global

La existencia de malware como SuperCard X pone en riesgo la confianza de los usuarios en los servicios digitales, especialmente en los sistemas de pago sin contacto que cada vez son más comunes. El impacto económico de un solo ataque puede ir desde la sustracción de pequeñas cantidades hasta la pérdida total de los fondos disponibles en una cuenta.

Además, esta amenaza no solo afecta a los individuos. Comercios, entidades bancarias y plataformas de pago también se ven perjudicados al tener que asumir parte de los costes de los fraudes y reforzar constantemente sus sistemas para proteger a sus clientes.

¿Qué pueden hacer las entidades financieras?

Los bancos y otras instituciones financieras deben adaptarse a esta nueva era de amenazas invisibles. Algunas medidas urgentes que pueden adoptar incluyen:

• Implementar inteligencia artificial para la detección de patrones anómalos.

• Limitar las operaciones NFC sin verificación biométrica.

• Informar y educar a sus clientes sobre fraudes comunes.

• Fomentar la autenticación multifactor para todas las transacciones.

La educación, tanto interna como hacia el cliente, se convierte en un factor clave. Cuanto más informado esté un usuario, menor será la probabilidad de caer en este tipo de trampas.

La evolución del malware en el entorno móvil

SuperCard X es solo el último exponente de una tendencia creciente: la sofisticación del malware móvil. A medida que las personas usan sus teléfonos para actividades cada vez más críticas —pagos, trámites administrativos, control de dispositivos del hogar— los ciberdelincuentes dirigen sus esfuerzos hacia estos entornos.

A diferencia de los ataques tradicionales en ordenadores, los dispositivos móviles ofrecen ventajas a los atacantes: múltiples sensores, comunicaciones permanentes, y usuarios que tienden a ignorar los avisos de seguridad.

Esto obliga a replantear las estrategias defensivas. La combinación de medidas técnicas, buenas prácticas de usuario y colaboración entre organismos será vital para mantener la seguridad en un entorno digital cada vez más expuesto.

Un llamado a la vigilancia constante

La aparición de SuperCard X representa una advertencia contundente sobre el nivel de amenaza que enfrenta la sociedad digital. En un contexto donde las herramientas tecnológicas evolucionan rápidamente, también lo hacen las técnicas de ataque. La seguridad ya no es un producto, sino un proceso continuo que requiere vigilancia, actualización y, sobre todo, conciencia.

Frente a un enemigo que no puede verse ni oírse, la prevención es la mejor defensa. En tiempos donde un simple mensaje puede poner en jaque tus finanzas, la cautela no es una opción: es una necesidad.

The post Alerta: SuperCard X, el nuevo malware oculto en WhatsApp que roba tus datos bancarios sin que lo sepas appeared first on TecnoFuturo24.

En este contexto, un nuevo esquema de estafa dirigido a los usuarios de WhatsApp ha comenzado a causar preocupación por su sofisticación y alcance. Los ciberdelincuentes, en un intento de robar datos sensibles y acceder a cuentas de WhatsApp, están implementando un fraude digital que utiliza la imagen de un círculo azul Meta AI para engañar a las víctimas. Esta técnica se basa en el uso de un número internacional de Finlandia (+358) para contactar a los usuarios y haciéndoles creer que están interactuando con un servicio oficial de WhatsApp.

¿En qué consiste esta nueva estafa?

El esquema fraudulento que está circulando por WhatsApp comienza cuando los ciberdelincuentes envían un mensaje desde un número internacional con el prefijo +358, que corresponde a Finlandia. En este mensaje, los estafadores se hacen pasar por una cuenta empresarial vinculada a WhatsApp o Meta, utilizando un perfil con el logo del círculo azul de Meta AI. Este tipo de perfil genera confianza, ya que los usuarios lo asocian con la empresa matriz de WhatsApp, Meta.

El mensaje tiene como objetivo principal crear un sentido de urgencia. Los estafadores advierten a las víctimas que su cuenta de WhatsApp será desactivada si no completan un proceso de verificación. Aparentemente, se trata de una advertencia oficial que exige una respuesta rápida, lo que aumenta las probabilidades de que el usuario siga el enlace malicioso que se incluye en el mensaje.

“Dentro de las 24 horas siguientes a no realizarse ninguna acción de verificación, su página de fans y su cuenta serán eliminadas. Esta es nuestra decisión final”, es uno de los mensajes más comunes que se han reportado hasta la fecha. Este tipo de notificaciones suelen ser muy alarmantes y buscan manipular emocionalmente a las víctimas, generando miedo y ansiedad para que actúen rápidamente sin pensar.

El papel de la urgencia y el miedo en las estafas

Las emociones juegan un papel crucial en las estafas digitales. Los ciberdelincuentes lo saben bien y usan estrategias psicológicas para manipular a las víctimas. En este caso, el uso de amenazas relacionadas con la desactivación inmediata de cuentas crea un sentido de urgencia, que es uno de los elementos más poderosos para llevar a una persona a hacer clic en un enlace sin verificar su autenticidad.

Una vez que la víctima hace clic en el enlace, es redirigida a una página fraudulenta. Esta página suele parecer legítima, pero en realidad es una copia de una plataforma oficial como WhatsApp. En ella, se solicita a los usuarios que ingresen datos personales sensibles, como contraseñas, información bancaria, números de tarjetas de crédito e incluso códigos de verificación. En algunos casos, los ciberdelincuentes incluso pueden inducir a los usuarios a descargar software malicioso, como virus o programas espías, que comprometen aún más la seguridad de los dispositivos.

El peligro del phishing y el malware

El principal objetivo de los estafadores es obtener información confidencial que les permita realizar fraudes financieros, acceder a cuentas bancarias o incluso suplantar identidades. Los datos que recopilan, como las contraseñas de cuentas, datos bancarios y otros identificadores personales, les otorgan acceso a una amplia variedad de recursos y servicios en línea. Estos ataques de phishing pueden tener consecuencias devastadoras para las víctimas, ya que los ciberdelincuentes pueden realizar transacciones no autorizadas o vaciar cuentas bancarias.

Además, el malware que los estafadores instalan en los dispositivos puede usarse para monitorear las actividades de las víctimas, robar más información de manera continua o incluso extorsionar a los usuarios. Este software malicioso puede ser difícil de detectar sin un análisis adecuado, y una vez instalado, puede exponer la información personal de la víctima de manera aún más agresiva.

Señales de advertencia: ¿Cómo identificar una estafa en WhatsApp?

Existen ciertos signos que permiten identificar cuando un mensaje recibido en WhatsApp es sospechoso. Las siguientes características pueden ayudar a los usuarios a detectar posibles fraudes:

1. Mensajes que exigen una acción inmediata: La urgencia es uno de los principales elementos utilizados por los estafadores. Si el mensaje menciona amenazas relacionadas con la desactivación de cuentas o pide una respuesta inmediata, es muy probable que se trate de un intento de fraude.
2. Números desconocidos con prefijos internacionales: En este caso, los estafadores suelen usar números de teléfono con prefijos internacionales poco comunes, como el +358 de Finlandia. Si no reconoces el número y no has iniciado ninguna conversación con ese contacto, es recomendable ser cauteloso.
3. Uso de enlaces sospechosos: Los estafadores frecuentemente usan enlaces acortados o dominios que no corresponden a las direcciones oficiales de las plataformas. Si el enlace parece extraño o no corresponde a la página oficial de WhatsApp, es mejor no hacer clic.
4. Mensajes que aparentan ser oficiales pero no provienen de canales verificados: WhatsApp y Meta suelen utilizar canales oficiales para comunicarse con sus usuarios, y siempre se puede verificar la autenticidad de cualquier mensaje mediante las plataformas de soporte oficiales.

Qué hacer para protegerse de estas estafas

La seguridad digital es un tema cada vez más importante para todos los usuarios de servicios en línea, especialmente en plataformas de mensajería como WhatsApp. Para protegerse de los ciberdelincuentes, es fundamental seguir una serie de prácticas recomendadas:

1. Activar la verificación en dos pasos: WhatsApp ofrece la opción de habilitar la verificación en dos pasos en su configuración. Esta capa adicional de seguridad dificulta el acceso no autorizado a la cuenta, ya que además de la contraseña, se requiere un código enviado por mensaje de texto.
2. No hacer clic en enlaces de mensajes sospechosos: Siempre que recibas un mensaje de un número desconocido, especialmente si incluye un enlace o solicitud de verificación, es importante no hacer clic y verificar su autenticidad. Si tienes dudas, es mejor contactar directamente con el soporte de WhatsApp o Meta.
3. No compartir información personal: Nunca compartas tus datos personales, contraseñas o información bancaria sin verificar la fuente de la solicitud. WhatsApp nunca pedirá información sensible a través de mensajes.
4. Reportar y bloquear números sospechosos: Si recibes un mensaje de un número desconocido que te parece sospechoso, utiliza las herramientas de WhatsApp para bloquear y reportar dicho número. Esto ayuda a mantener la plataforma más segura para todos los usuarios.
5. Revisar y actualizar regularmente las contraseñas: Cambiar tus contraseñas periódicamente y usar contraseñas fuertes es una medida preventiva esencial para evitar que los ciberdelincuentes accedan a tus cuentas.

Qué hacer si ya has caído en la trampa

Si has interactuado con un mensaje sospechoso y has proporcionado información personal, es crucial actuar rápidamente:

1. Cambiar las contraseñas de todas las cuentas afectadas, incluyendo cuentas de correo electrónico, redes sociales y servicios bancarios.
2. Habilitar la verificación en dos pasos en todas las plataformas que lo ofrezcan, lo que agregará una capa extra de protección.
3. Realizar un escaneo de seguridad en tu dispositivo: Utiliza un software antivirus confiable para escanear tu dispositivo en busca de malware o programas maliciosos.
4. Denunciar el incidente a las autoridades locales y a las plataformas de soporte de WhatsApp o Meta, para que tomen las medidas adecuadas.

 La importancia de la educación digital y la prevención

Las estafas en línea, como la que afecta a los usuarios de WhatsApp, son una amenaza constante que está evolucionando con rapidez. Es fundamental que los usuarios mantengan una actitud vigilante y sigan las mejores prácticas de seguridad digital para proteger su información personal y financiera. Además, la educación digital es clave para prevenir que más personas caigan en estos engaños.

La seguridad en línea debe ser una prioridad, y mantenerse informado sobre los últimos métodos utilizados por los ciberdelincuentes es una de las mejores formas de evitar caer en sus trampas. Implementando medidas preventivas, como la verificación en dos pasos y la desconfianza ante mensajes sospechosos, podemos reducir considerablemente el riesgo de ser víctimas de estafas y proteger nuestra privacidad en plataformas como WhatsApp.

The post Nueva Estafa en WhatsApp: Ciberdelincuentes Usan el Círculo de la IA para Robar Cuentas y Datos Personales appeared first on TecnoFuturo24.