NFC y clonación de tarjetas: riesgos reales y cómo bloquear el pago sin contacto

Las tecnologías de proximidad han hecho nuestra vida más cómoda, pero también han abierto nuevas puertas a los estafadores; por eso conviene entender bien sus límites y aplicar medidas de seguridad antes de que el daño sea real.

En este artículo vas a encontrar, sin rodeos, cómo funciona NFC/RFID, qué trucos emplean los delincuentes en eventos y lugares concurridos, qué amenazas han surgido en móviles y terminales de pago y, sobre todo, cómo bloquear o mitigar el pago sin contacto cuando te convenga. Vamos allá con una completa guía sobre: NFC y clonación de tarjetas: riesgos reales y cómo bloquear el pago sin contacto.

¿Qué es RFID y qué añade NFC?

Para situarnos: RFID es la base de todo. Es un sistema que usa radiofrecuencia para identificar etiquetas o tarjetas a corta distancia, y puede funcionar de dos formas. En su variante pasiva, la etiqueta no tiene batería y se activa con la energía del lector; es típica de abonos de transporte, identificaciones o etiquetado de productos. En su variante activa, el tag incorpora batería y alcanza distancias mayores, algo habitual en logística, seguridad y automoción.

NFC es, por simplificar, una evolución pensada para el uso cotidiano con móviles y tarjetas: permite comunicación bidireccional, está optimizada para distancias muy cortas y se ha convertido en el estándar para pagos rápidos, acceso y intercambio de datos. Su gran baza es la inmediatez: acercas y listo, sin introducir la tarjeta en la ranura.

Cuando pagas con una tarjeta contactless, el chip NFC/RFID transmite la información necesaria al datáfono del comercio. En cambio, si pagas con tu móvil o reloj, entras en otra liga: el dispositivo actúa como intermediario y añade capas de seguridad (biometría, PIN, tokenización), lo que reduce la exposición de los datos reales de la tarjeta.

Tarjetas contactless versus pagos con dispositivos

• Tarjetas físicas sin contacto: basta con acercarlas al terminal; en importes pequeños puede no pedirse PIN, según los límites que marque el banco o el país.
• Pagos con móvil o reloj: usan monederos digitales (Apple Pay, Google Wallet, Samsung Pay) que suelen exigir huella, rostro o PIN, y sustituyen el número real con un token de un solo uso, lo que evita que el comercio vea tu tarjeta auténtica.

Que ambos métodos compartan la misma base NFC no significa que expongan los mismos riesgos. La diferencia está en el medio (plástico frente a dispositivo) y en las barreras adicionales que añade el smartphone, especialmente la autenticación y la tokenización.

Dónde y cómo se producen los fraudes sin contacto

Los delincuentes se aprovechan del hecho de que la lectura NFC sucede a muy corta distancia. En sitios con mucha gente —transporte público, conciertos, partidos, ferias— un lector portátil puede acercarse a bolsillos o bolsos sin levantar sospechas y capturar información. Este método, conocido como skimming, permite duplicar datos que luego se intentan usar en compras o clonaciones, aunque a menudo necesitan pasos adicionales para que el fraude sea efectivo.

Otro vector es la manipulación de terminales. Un datáfono modificado con un lector NFC malicioso puede almacenar datos sin que lo notes, y si se combina con cámaras disimuladas o simple observación visual, los atacantes consiguen piezas clave como dígitos y fechas de caducidad. En comercios de confianza es raro, pero en puestos improvisados el riesgo aumenta.

Tampoco hay que olvidar la suplantación de identidad: con suficientes datos, los criminales pueden usarlos para compras en línea o para operaciones donde no se requiera un segundo factor. Algunas entidades blindan mejor que otras —usando cifrado fuerte y tokenización— pero, como advierten especialistas, cuando el chip transmite, los datos necesarios para la transacción están presentes.

En paralelo, han aparecido ataques que no buscan leer tu tarjeta en la calle, sino engancharla a distancia a un monedero móvil del propio delincuente. Aquí entra en juego el phishing a gran escala, webs falsas y la obsesión por obtener códigos de un solo uso (OTP), que son la llave para autorizar operaciones.

Clonación, compras online y por qué a veces cuela

En ocasiones, los datos capturados incluyen número completo y fecha de vencimiento. Eso puede bastar para compras virtuales si el comercio o el banco no pide más validación. En el mundo físico, la cosa es más complicada por los chips EMV y controles antifraude, pero algunos atacantes prueban suerte con transacciones en terminales permisivos o con importes pequeños.

Del cebo al pago: vinculación de tarjetas robadas a monederos móviles

Una táctica al alza consiste en montar redes de webs fraudulentas (multas, envíos, facturas, tiendas falsas) que piden “verificación” o un pago simbólico. La víctima introduce su tarjeta y, a veces, un OTP. En realidad, no se cobra nada en ese instante: los datos viajan al atacante, que intenta vincular esa tarjeta a su Apple Pay o Google Wallet lo antes posible.

Para acelerar, algunos grupos generan una imagen digital que replica la tarjeta con los datos de la víctima, la “fotografían” desde el monedero y completan la vinculación si el banco sólo exige número, caducidad, titular, CVV y OTP. Todo puede suceder en una misma sesión.

Curiosamente, no siempre gastan de inmediato. Acumulan decenas de tarjetas vinculadas en un teléfono y lo revenden en la red oscura. Semanas después, un comprador usará ese dispositivo para pagar en tiendas físicas mediante contactless o para cobrar productos inexistentes en un comercio “propio” dentro de una plataforma legítima. En muchos casos no se solicita PIN ni OTP en el TPV.

Hay países donde incluso se puede retirar efectivo de cajeros con NFC usando el móvil, lo que añade otra vía de monetización. Mientras tanto, la víctima quizá ni recuerda el intento de pago fallido en aquella web y no ve cargos “raros” hasta que ya es tarde, porque el primer uso fraudulento se produce mucho después.

Ghost Tap: la retransmisión que engaña al datáfono

Otra técnica comentada en foros de seguridad es la retransmisión NFC o relay, apodada Ghost Tap. Se apoya en dos móviles y aplicaciones legítimas de pruebas como NFCGate: uno tiene el monedero con tarjetas robadas; el otro, conectado a Internet, actúa como “mano” en la tienda. La señal del primero se retransmite en tiempo real y la mula acerca el segundo al datáfono, que no distingue fácilmente entre una señal original y una retransmitida.

La treta permite que varias mulas paguen casi a la vez con la misma tarjeta, y si la policía revisa el teléfono de la mula sólo ve una app legítima sin números de tarjeta. Los datos sensibles están en el otro dispositivo, quizá en otro país. Este esquema complica la atribución y acelera el blanqueo.

Malware móvil y el caso NGate: cuando el teléfono roba por ti

Investigadores de seguridad han documentado campañas en América Latina —como la de NGate en Brasil— donde una app bancaria falsa para Android pide activar NFC y “acercar la tarjeta” al teléfono. El malware intercepta la comunicación y envía los datos al atacante, que luego emula la tarjeta para pagos o retiradas. Basta con que el usuario confíe en la app equivocada.

El riesgo no es exclusivo de un país. En mercados como México y el resto de la región, donde crece el uso de pagos de proximidad y muchos usuarios instalan apps desde enlaces dudosos, el terreno es fértil. Aunque los bancos robustecen sus controles, los actores maliciosos iteran rápido y explotan cualquier descuido.

Cómo operan estas estafas paso a paso

1. Llega un aviso trampa: un mensaje o correo que “exige” actualizar la app del banco mediante un enlace.
2. Instalas una app clonada: parece real, pero es maliciosa y solicita permisos de NFC.
3. Te pide acercar la tarjeta: o activa NFC durante una operación, y ahí captura los datos.
4. El atacante emula tu tarjeta: y realiza pagos o retiradas, que tú descubrirás tarde.

Además, a finales de 2024 se vio otro giro: apps fraudulentas que piden acercar la tarjeta al móvil e introducir el PIN “para verificarla”. La aplicación retransmite la información al delincuente, que ejecuta compras o reintegros en cajeros NFC. Al detectar los bancos anomalías de geolocalización, en 2025 se observó una variante: convencen a la víctima para que deposite su dinero en una supuesta cuenta segura desde un cajero, mientras el atacante, vía retransmisión, presenta su propia tarjeta; el ingreso termina en manos del estafador y el sistema antifraude lo ve como una operación legítima.

Riesgos añadidos: datáfonos, cámaras y suplantación

Los terminales adulterados no sólo capturan lo que necesitan vía NFC, también pueden almacenar trazas de operaciones y complementarlas con imágenes de cámaras camufladas. Si consiguen número y caducidad, ciertos comercios online poco rigurosos podrían aceptar compras sin un segundo factor. La robustez del banco y del comercio marca la diferencia.

En paralelo, se han descrito escenarios donde alguien fotografía discretamente una tarjeta o graba con el móvil cuando la sacas de la cartera. Aunque suene básico, estas fugas visuales se combinan con otros datos para terminar en fraudes de identidad, altas de servicios o compras no autorizadas. La ingeniería social completa el trabajo técnico.

Cómo blindarte: medidas prácticas que sí funcionan

• Establece límites de pago sin contacto: baja los importes máximos para que, si hay uso indebido, el impacto sea menor.
• Activa biometría o PIN en el móvil o reloj: así nadie puede pagar desde tu dispositivo sin tu autorización.
• Usa monederos con tokenización: sustituyen el número real por un token, evitando exponer tu tarjeta al comercio.
• Desactiva el pago contactless si no lo usas: muchas entidades permiten apagar temporalmente esa función en la tarjeta.
• Apaga el NFC del teléfono cuando no lo necesites: reduce la superficie de ataque frente a apps maliciosas o lecturas indeseadas.
• Protege el dispositivo: bloquea con contraseña robusta, patrón seguro o biometría, y no lo dejes desbloqueado en ningún mostrador.
• Mantén todo actualizado: sistema, apps y firmware; muchas actualizaciones corrigen fallos que explotan estos ataques.
• Activa alertas de transacciones: push y SMS para detectar movimientos en tiempo real y reaccionar al instante.
• Revisa regularmente tus extractos: dedica un momento semanal a comprobar cargos y localizar importes pequeños sospechosos.
• Verifica siempre el importe en el TPV: mira la pantalla antes de acercar la tarjeta y conserva el recibo.
• Define importes máximos sin PIN: así fuerzas autenticación adicional en compras de cierta cuantía.
• Usa fundas o tarjetas bloqueadoras RFID/NFC: no son infalibles, pero elevan el esfuerzo del atacante.
• Prefiere tarjetas virtuales para compras online: carga saldo justo antes de pagar y desactiva pagos offline si tu banco lo ofrece.
• Renueva la tarjeta virtual con frecuencia: cambiarla al menos una vez al año reduce la exposición si se filtra.
• Vincula a tu wallet una tarjeta distinta a la que usas en Internet: separa riesgos entre pagos físicos y online.
• Evita teléfonos con NFC en cajeros: para reintegros o ingresos, usa preferiblemente la tarjeta física.
• Instala una suite de seguridad reputada: busca funciones de protección de pagos y bloqueo de phishing en móvil y PC.
• Descarga apps sólo de tiendas oficiales: y confirma el desarrollador; desconfía de enlaces por SMS o mensajería.
• En espacios con mucha gente: lleva las tarjetas en un bolsillo interior o billetera con protección y evita exponerlas.
• Para empresas: pide a TI revisar móviles corporativos, aplicar gestión de dispositivos y bloquear instalaciones desconocidas.

Recomendaciones de organismos y buenas prácticas

• Comprueba el importe antes de pagar: no acerques la tarjeta hasta verificar la cifra en el terminal.
• Conserva justificantes: te ayudan a cotejar cargos y a reclamar con pruebas si hay discrepancias.
• Activa notificaciones de la app bancaria: son tu primera alarma ante un cargo no reconocido.
• Revisa extractos con regularidad: la detección temprana recorta el daño y acelera la respuesta del banco.

Si sospechas que te han clonado la tarjeta o vinculado tu cuenta

Lo primero es bloquear la tarjeta de crédito clonada desde la app o llamando al banco y solicitar nueva numeración. Pide al emisor que desvincule cualquier monedero móvil asociado que no reconozcas y que active monitorización reforzada, además de cambiar contraseñas y revisar tus dispositivos.

En el móvil, desinstala apps que no recuerdes haber instalado, ejecuta un análisis con tu solución de seguridad y, si persisten indicios de infección, restaura a ajustes de fábrica tras realizar una copia de seguridad. Evita reinstalar desde fuentes no oficiales.

Interpone denuncia si corresponde y recolecta evidencias (mensajes, capturas, recibos). Cuanto antes informes, antes podrá tu entidad iniciar devoluciones y bloqueos en redes de pago. La rapidez es clave para frenar el efecto dominó.

La cara B de la comodidad sin contacto es que los atacantes también juegan cerca. Conocer cómo trabajan —desde el skimming en multitudes hasta la vinculación de tarjetas a monederos móviles, la retransmisión Ghost Tap o el malware que intercepta NFC— permite tomar decisiones sensatas: recortar límites, exigir autenticación fuerte, usar tokenización, apagar funciones cuando no se usan, vigilar movimientos y elevar la higiene digital. Con unas cuantas barreras bien puestas, es perfectamente posible disfrutar de los pagos contactless minimizando el riesgo.