NFC

Cómo protegerse del robo de tarjetas NFC

Los ciberdelincuentes están inventando nuevas formas de robar dinero de las tarjetas de pago utilizando credenciales obtenidas en línea o por teléfono. A veces, simplemente acercar la tarjeta al teléfono es suficiente para dejarte sin dinero.

Stan Kaminsky
10 Abr 2025

La seguridad de las tarjetas de pago mejora constantemente, pero los atacantes siguen encontrando nuevas formas de robar dinero.

En el pasado, después de engañar a la víctima para que entregara las credenciales de su tarjeta en una tienda en línea falsa o a través de otra estafa, los ciberdelincuentes fabricaban un duplicado físico de la tarjeta escribiendo los datos robados en una banda magnética. Estas tarjetas podrían utilizarse en tiendas e incluso en cajeros automáticos sin inconvenientes. Si bien la llegada de las tarjetas con chip y las contraseñas de un solo uso (OTP) ha complicado mucho la vida de los estafadores, se han adaptado.

El cambio a los pagos móviles con teléfonos inteligentes ha aumentado la resiliencia frente a algunos tipos de estafas, pero también ha abierto nuevas vías para ello. Ahora, después de haber suplantado el número de una tarjeta, intentan vincularla a su propia cuenta de Apple Pay o Google Wallet. Una vez hecho esto, utilizan esta cuenta desde un teléfono inteligente para pagar productos con la tarjeta de la víctima, ya sea en una tienda normal o en un establecimiento falso con un terminal de pago habilitado para NFC.

Cómo se suplantan las credenciales de las tarjetas

Estos ciberataques implican una preparación a escala industrial. Los atacantes crean redes de sitios web falsos diseñados para obtener datos de pago. Pueden imitar servicios de reparto, grandes tiendas en línea e incluso portales para pagar facturas de servicios públicos o multas de tráfico. Los ciberdelincuentes también compran decenas de teléfonos inteligentes, crean cuentas de Apple o Google en ellos e instalan aplicaciones de pago sin contacto.

Ahora viene lo más jugoso. Cuando una víctima entra en un sitio de cebo, se le pide que vincule su tarjeta o realice un pequeño pago obligatorio. Esto requiere introducir los detalles de su tarjeta y confirmar la propiedad de la tarjeta ingresando una OTP. De hecho, la tarjeta no se carga en ese momento.

¿Qué sucede realmente? Los datos de la víctima se transfieren casi instantáneamente a los ciberdelincuentes, quienes intentan vincular la tarjeta a una cartera móvil en su teléfono inteligente. El código OTP es necesario para autorizar esta operación. Para acelerar y simplificar el proceso, los atacantes utilizan un software especial que toma los datos que ha proporcionado la víctima y genera una imagen de la tarjeta que la replica a la perfección. Después, basta con tomar una fotografía de esta imagen desde Apple Pay o Google Wallet. El proceso exacto para vincular una tarjeta a una cartera móvil depende del país y el banco específicos, pero, por lo general, no se requieren más datos que el número, la fecha de vencimiento, el nombre del titular de la tarjeta, el CVV/CVC y la OTP. Todo esto se puede suplantar en una sola sesión y poner en uso inmediatamente.

Para que los ataques sean aún más efectivos, los ciberdelincuentes emplean trucos adicionales. En primer lugar, si la víctima recapacita antes de pulsar el botón “Enviar”, los datos ya introducidos en los formularios se siguen transmitiendo a los delincuentes, aunque se trate de unos pocos caracteres o de una entrada incompleta. En segundo lugar, el sitio falso puede informar que el pago ha fallado y solicitarle a la víctima que pruebe con una tarjeta diferente. De esta manera, los delincuentes podrían robar los datos de dos o tres tarjetas a la vez.

Las tarjetas no se cargan de inmediato y muchas personas, al no ver nada sospechoso en su extracto bancario, se olvidan por completo del incidente.

Cómo se roba dinero de las tarjetas

Los ciberdelincuentes podrían vincular decenas de tarjetas a un teléfono inteligente sin intentar gastar dinero inmediatamente desde ellas. Este teléfono inteligente, repleto de números de tarjetas, se revende luego en la red oscura.

A menudo, transcurren semanas o incluso meses entre el phishing y el gasto. Pero cuando llegue ese desagradable día, los delincuentes podrían decidir derrochar en artículos de lujo en una tienda física simplemente realizando un pago sin contacto desde un teléfono lleno de números de tarjeta suplantados. Otra posibilidad es que creen su propia tienda falsa en una plataforma de comercio electrónico legítima y cobren dinero por productos inexistentes. Algunos países incluso permiten retiradas de cajeros automáticos utilizando un teléfono inteligente con tecnología NFC. En todos los casos anteriores, no se requiere confirmación de la transacción mediante PIN u OTP, por lo que el dinero puede desviarse hasta que la víctima bloquee la tarjeta.

Para agilizar la transferencia de carteras móviles a compradores clandestinos, así como para reducir el riesgo de quienes realizan pagos en tiendas, los atacantes comenzaron a utilizar una técnica de retransmisión por NFC apodada Ghost Tap. Comienzan instalando una aplicación legítima como NFCGate en dos teléfonos inteligentes: uno con la cartera móvil y las tarjetas robadas, el otro utilizado directamente para los pagos. Esta aplicación transmite, en tiempo real a través de Internet, los datos NFC de la cartera del primer teléfono a la antena NFC del segundo, que el cómplice de los ciberdelincuentes (conocido como “mula”) pulsa en la terminal de pago.

La mayoría de las terminales de las tiendas físicas y muchos cajeros automáticos son incapaces de distinguir la señal retransmitida de una original, lo que le permite a la mula pagar fácilmente productos (o tarjetas regalo, que facilitan el blanqueo de los fondos robados). Además, si la mula es detenida en la tienda, no hay nada incriminatorio en el teléfono inteligente, solo la aplicación legítima NFCGate. No hay números de tarjetas robadas, ya que están escondidos en el teléfono inteligente del cerebro de la operación, que puede estar en cualquier parte, incluso en otro país. Este método les permite a los estafadores retirar grandes sumas de dinero de forma rápida y segura porque puede haber varias mulas pagando casi simultáneamente con la misma tarjeta robada.

Cómo perder dinero pulsando la tarjeta en el teléfono

A finales de 2024, los estafadores idearon otro mecanismo de retransmisión por NFC y lo probaron con éxito con usuarios de Rusia, y nada impide que la operación se extienda a todo el mundo. Mediante este mecanismo, ni siquiera se les pide a las víctimas las credenciales de su tarjeta. En lugar de eso, los atacantes utilizan ingeniería social para obligarlos a instalar una aplicación supuestamente útil en sus teléfonos inteligentes bajo la apariencia de un servicio gubernamental, bancario o de otro tipo. Dado que muchas de estas aplicaciones bancarias y gubernamentales en Rusia fueron retiradas de las tiendas oficiales debido a las sanciones, los usuarios desprevenidos acceden fácilmente a instalarlas. Luego se le pide a la víctima que acerque su tarjeta a su teléfono inteligente e introduzca su PIN para fines de “autorización” o “verificación”.

Como habrás adivinado, la aplicación instalada no tiene nada en común con su descripción. En la primera ola de este tipo de ataques, lo que recibieron las víctimas fue la misma retransmisión por NFC, reempaquetada como una “aplicación práctica”. Cuando se acerca al teléfono inteligente, lee la tarjeta y transmite sus datos junto con el PIN a los atacantes, quienes la usan para realizar compras o retirar efectivo de cajeros automáticos con NFC. Los sistemas antifraude de los grandes bancos rusos aprendieron rápidamente a identificar este tipo de pagos debido a desajustes en la geolocalización de la víctima y del pagador, por lo que en 2025 el mecanismo cambió, no así su esencia.

Ahora, la víctima recibe una aplicación para crear una tarjeta duplicada y la retransmisión se instala del lado de los atacantes. A continuación, con el falso pretexto del riesgo de robo, se convence a la víctima para que deposite dinero en una “cuenta segura” a través de un cajero automático, utilizando su teléfono inteligente para autorizar el pago. Cuando la víctima acerca su teléfono al cajero automático, el estafador le transmite los datos de su propia tarjeta y el dinero termina en su cuenta. Este tipo de operaciones son difíciles de rastrear para los sistemas antifraude automáticos, ya que la transacción parece perfectamente legítima: alguien se ha acercado a un cajero automático y ha depositado dinero en una tarjeta. El sistema antifraude no sabe que la tarjeta pertenece a otra persona.

Cómo proteger tus tarjetas de los estafadores

En primer lugar, los propios Google y Apple, junto con los sistemas de pago, deberían implementar medidas de protección adicionales en la infraestructura de pagos. Sin embargo, los usuarios también pueden tomar medidas para protegerse:

Utiliza tarjetas virtuales para pagos en línea. No guardes grandes cantidades de dinero en ellas y solo recárgalas justo antes de realizar una compra en línea. Si el emisor de tu tarjeta lo permite, desactiva los pagos fuera de línea y las retiradas de efectivo de dichas tarjetas.
Consigue una nueva tarjeta virtual y bloquea la antigua al menos una vez al año.
Para pagos sin conexión, vincula una tarjeta diferente a Apple Pay, Google Wallet o un servicio similar. Nunca uses esta tarjeta en línea y, si es posible, utiliza un monedero móvil en tu teléfono inteligente cuando pagues en tiendas.
Desconfía de las aplicaciones que te piden que acerques la tarjeta de pago al teléfono inteligente y mucho menos que introduzcas el PIN. Si se trata de una aplicación bancaria en la que se confía desde hace tiempo, entonces perfecto; pero si es algo sospechoso que acabas de instalar desde un oscuro enlace fuera de una tienda oficial de aplicaciones, mantente alejado.
Utiliza tarjetas de plástico en los cajeros automáticos, no un teléfono inteligente con NFC.
Instala una solución de seguridad integral en todos los ordenadores y teléfonos inteligentes para minimizar el riesgo de llegar a sitios de phishing e instalar aplicaciones maliciosas.
Activa el componente Pago seguro, disponible en todas nuestras soluciones de seguridad, para proteger las transacciones financieras y las compras en línea.
Activa las notificaciones de transacciones más rápidas posibles (texto y push) para todas las tarjetas de pago y ponte en contacto con tu banco o emisor inmediatamente si detectas algo sospechoso.

¿Quieres saber más sobre cómo los estafadores pueden robar dinero de tus tarjetas? Lee nuestras publicaciones:

Skimmers web: ¿por qué son particularmente sigilosos y peligrosos?

Cómo roban fondos de las tarjetas bancarias y cómo protegerte

Reglas para una compra online segura

Cinco tecnologías para proteger tus finanzas

¿Qué pasa si descargo un programa crackeado?

Spoiler: nada bueno. Junto con el software pirateado, probablemente encontrarás un minero, un ladrón o una puerta trasera.

Privacidad y niños

Cómo protegerse del robo de tarjetas NFC

Cómo se suplantan las credenciales de las tarjetas

Cómo se roba dinero de las tarjetas

Cómo perder dinero pulsando la tarjeta en el teléfono

Cómo proteger tus tarjetas de los estafadores

¿Qué pasa si descargo un programa crackeado?

Cómo rastrear usuarios a través de la red Find My

¿Qué pasa si descargo un programa crackeado?

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia