Toque fantasma: la estafa contactless que clona pagos NFC

  • El "toque fantasma" retransmite el token NFC para completar pagos sin permiso.
  • Existen dos variantes: presencial en lugares concurridos y remota con apps falsas.
  • Brasil concentra la mayor parte de intentos; también hay casos en España.
  • Desactiva NFC cuando no lo uses y activa alertas de tu banco para detectar cargos.
Alberto Navarro

4 minutos

estafa contactless nfc

El auge del pago sin contacto ha simplificado compras en tiendas, transporte y cafeterías: acercas la tarjeta o el móvil a la terminal y listo. Pero esa comodidad convive con una amenaza emergente, conocida como toque fantasma, capaz de generar cargos en segundos sin que notes nada raro.

Investigaciones recientes apuntan a que bandas organizadas se apoyan en la tecnología NFC para interceptar y reenviar los códigos temporales de las transacciones, transformando un sistema pensado para ser seguro en un vector de fraude que pasa desapercibido para la víctima.

¿Qué es el «toque fantasma» y por qué preocupa?

Se trata de una técnica que aprovecha la emisión de tokens de un solo uso que validan los pagos contactless. En condiciones normales, ese código expira casi al instante, pero los delincuentes han ideado formas de capturarlo y retransmitirlo en tiempo real a otro dispositivo para ejecutar una compra como si fueses tú.

La clave del éxito está en la rapidez: la operación ilícita se completa antes de que el token caduque. No requieren robarte la tarjeta ni tocar tu móvil, y tampoco necesitan «hackear» el sistema; explotan cómo se comunican los equipos durante la autorización del pago.

toque fantasma fraude nfc

Cómo operan los estafadores

A grandes rasgos, los expertos han documentado dos modalidades recurrentes que comparten el mismo objetivo: clonar el contexto de pago a distancia para que otra terminal cobre como si tuviera tu tarjeta delante.

Modalidad presencial: el golpe relámpago

En espacios concurridos (colas, transporte, bares), un miembro de la banda se aproxima lo suficiente como para leer el token NFC con un dispositivo preparado. De inmediato, lo remite a un segundo móvil que se coloca frente a una terminal y finaliza la compra en otro lugar.

Todo sucede en cuestión de segundos y pasa inadvertido: tú mantienes tu tarjeta y tu teléfono, pero el cargo se registra como si hubieras pagado por proximidad de forma legítima.

Modalidad remota: ingeniería social y apps falsas

En este esquema, los atacantes llaman o escriben haciéndose pasar por personal del banco para convencerte de instalar una aplicación fraudulenta que supuestamente «valida» tu tarjeta.

Cuando acercas la tarjeta al móvil siguiendo sus indicaciones, esa app intercepta el token NFC y lo reenvía al dispositivo de los delincuentes, que lo aprovechan al instante en otra terminal de cobro antes de que caduque.

Alcance y países más afectados

Análisis citados por firmas de ciberseguridad señalan que Brasil concentra cerca del 47% de intentos bloqueados de este fraude a nivel mundial, con presencia destacada también en India, China y España. El aumento del uso de pagos por proximidad en la región ha ido de la mano de este tipo de intentos.

Además, circulan tutoriales y vídeos en canales de mensajería donde se exhiben transacciones reales para captar a posibles delincuentes, promocionando estas herramientas como si fueran soluciones de «pago a distancia».

Dispositivos y plataformas más expuestos

El vector remoto afecta especialmente a usuarios de Android, ya que el sistema permite instalar software desde fuera de las tiendas oficiales si el usuario lo autoriza, lo que abre la puerta a apps maliciosas. En cualquier caso, toda tarjeta contactless o móvil con NFC activo puede ser objetivo del modus operandi presencial.

Cómo proteger tu dinero y tus tarjetas

Aunque el toque fantasma se apoya en la velocidad, hay medidas sencillas que reducen mucho el riesgo y dificultan la interceptación del token por parte de terceros.

  • Desactiva la NFC en el móvil cuando no la necesites.
  • Usa carteras, fundas o porta-tarjetas con bloqueo RFID/NFC para impedir lecturas no deseadas.
  • Activa alertas de transacciones en tu banco y revisa con frecuencia tus movimientos.
  • No instales apps fuera de tiendas oficiales y verifica el nombre del desarrollador.
  • Desconfía de llamadas o mensajes que pidan «validar» tu tarjeta o te indiquen instalar software.
  • Cuenta con una solución de seguridad capaz de detectar y bloquear aplicaciones maliciosas.

Si detectas un cargo que no reconoces, contacta de inmediato con tu entidad financiera para bloquear métodos de pago, reclamar la operación y, si procede, presentar denuncia ante las autoridades competentes.

Señales de alerta y comportamiento en redes

Desconfía de contenidos que prometen «pagar a distancia» con tarjetas ajenas o muestren supuestas demostraciones en terminales reales: suelen ser escaparates para captar compradores de herramientas ilícitas y estafadores en formación.

También es recomendable mantener una cultura de prudencia en lugares con mucha gente: evita exponer tu tarjeta o tu móvil innecesariamente cerca de otros dispositivos y mantén el contactless desactivado si no vas a pagar.

La amenaza del toque fantasma no implica renunciar al contactless: combinando buenas prácticas, controles de tu banco y un uso responsable del móvil, el riesgo se reduce de forma notable sin perder las ventajas de la pago por proximidad.

Instander app
Artículo relacionado:
Instander: el mod de Instagram más completo para Android, funciones, descarga y alternativas