¿Pagas tu café con el móvil? Los hackers ya conocen tu PIN y número de tarjeta, y se gastan tu sueldo

Los especialistas de la empresa ESET detectaron una nueva ola de ciberataques en los que los delincuentes utilizan datos de pagos sin contacto a través de NFC. Inicialmente, este esquema estaba dirigido contra clientes de bancos checos, pero ahora se está extendiendo activamente por todo el mundo.

Según el último informe ESET Threat Report para el primer semestre de 2025, el número de ataques relacionados con NFC se ha multiplicado por 35 en comparación con finales de 2024. Este alarmante aumento demuestra lo rápido que los delincuentes están explotando vulnerabilidades en la tecnología que sustenta los pagos sin contacto, basada en la transmisión de datos a tan solo unos centímetros mediante señales de radio.

Mientras el mercado de NFC sigue creciendo rápidamente —se espera que su volumen pase de 21,69 mil millones de dólares en 2024 a 30,55 mil millones en 2029—, los mecanismos de protección desarrollados anteriormente, como el cifrado y la tokenización, empiezan a ceder terreno ante las sofisticadas técnicas de los atacantes.

Según ESET, el nuevo esquema combina métodos clásicos de ingeniería social, phishing y malware para Android con una herramienta originalmente creada para investigación académica: NFCGate. Este proyecto fue desarrollado por estudiantes de la Universidad Técnica de Darmstadt para probar de forma segura el funcionamiento de NFC, pero pronto pasó al arsenal de los delincuentes bajo el nombre de NGate.

El ataque comienza con el envío de mensajes SMS con enlaces de phishing a sitios web bancarios falsos. A través de estos, se invita a la víctima a instalar una aplicación web progresiva (PWA), que elude las verificaciones de las tiendas de aplicaciones y se instala sin advertencias del sistema de seguridad.

Tras introducir credenciales de acceso, los delincuentes obtienen acceso a la cuenta bancaria y luego llaman a la víctima haciéndose pasar por empleados del banco. Bajo este pretexto, convencen a la persona de instalar el malware NGate, supuestamente para proteger la cuenta.

Este virus aprovecha las capacidades de NFCGate para interceptar los datos de la tarjeta bancaria cuando la víctima acerca su tarjeta al teléfono inteligente. La información obtenida permite a los atacantes emular la tarjeta en su propio dispositivo y realizar pagos o retirar efectivo sin dejar rastro.

Además, posteriormente apareció una variante del ataque llamada Ghost Tap. En este caso, los datos robados de la tarjeta y los códigos de confirmación de un solo uso se vinculan a monederos electrónicos de los delincuentes, como Apple Pay o Google Pay. Esto les permite organizar transacciones fraudulentas masivas a través de pagos sin contacto. Según los especialistas, estos esquemas pueden implementarse mediante granjas de dispositivos Android en los que se cargan masivamente los datos comprometidos.

A pesar de la alta complejidad de los ataques, los usuarios pueden reducir significativamente el riesgo siguiendo medidas de precaución básicas. ESET enfatiza que es fundamental no hacer clic en enlaces sospechosos y no instalar aplicaciones de fuentes dudosas. También se recomienda establecer límites mínimos para pagos sin contacto y utilizar fundas o tarjetas especiales con función de bloqueo de señal RFID para evitar la lectura no autorizada de datos.

Otro nivel adicional de protección puede ser una solución antivirus integral que incluya escaneo 24/7 del teléfono inteligente, protección contra phishing y verificación de permisos de las aplicaciones, lo que ayudará a detectar la amenaza en las primeras etapas.

A medida que la popularidad de los pagos sin contacto sigue creciendo y la comodidad de este método de pago es indudable, es importante que los usuarios recuerden: la seguridad comienza con la conciencia y una actitud responsable hacia los propios dispositivos. De lo contrario, la comodidad puede convertirse en graves pérdidas financieras.