Las nuevas estafas de phishing en Apple Pay ponen en jaque a los usuarios

En los últimos años, Apple Pay se ha consolidado como uno de los métodos de pago digital más utilizados por los propietarios de iPhone, tanto en España como en el resto de Europa. Su combinación de comodidad y medidas de seguridad avanzadas ha hecho que muchos usuarios hayan dejado casi de lado la tarjeta física para pagar con el móvil o el reloj.

Sin embargo, esa misma popularidad ha convertido la plataforma en un imán para los estafadores. Las campañas de Apple Pay phishing y otros engaños basados en ingeniería social están creciendo, no porque el sistema sea inseguro a nivel técnico, sino porque los delincuentes se centran en manipular al usuario para que sea él quien abra la puerta al fraude.

Apple Pay: tecnología robusta frente al phishing que apunta al usuario

A nivel técnico, Apple Pay se apoya en la tokenización de las tarjetas y en la autenticación biométrica (Face ID o Touch ID) para autorizar compras. Esto significa que los comercios nunca reciben los datos reales de la tarjeta, sino un identificador virtual, y que cada pago requiere una verificación del propietario del dispositivo.

Según explican especialistas de ESET, no se están explotando agujeros de seguridad en Apple Pay, sino la forma en que las personas reaccionan ante mensajes de urgencia, miedo o confusión. Los ciberdelincuentes se hacen pasar por Apple, por entidades bancarias o por compradores aparentemente legítimos, y logran que el usuario facilite información sensible o confirme operaciones que en realidad son fraudulentas.

En este contexto, la reputación de Apple como marca segura se convierte en parte del problema: muchos usuarios bajan la guardia cuando ven el nombre de Apple en un correo, un SMS o una página web, aunque el mensaje esté lleno de trampas.

Expertos de ESET en España y Europa insisten en que el llamado “eslabón débil” no es el sistema de pagos, sino la persona. Los atacantes “piratean” al propietario del iPhone y no tanto al propio iPhone, aprovechando cada vez más técnicas psicológicas bien afinadas.

Apple Pay phishing y otras estafas más habituales

Las campañas de Apple Pay phishing y smishing (fraude por SMS) se han convertido en uno de los vectores de ataque más recurrentes contra los usuarios de pagos móviles. A partir de los análisis de ESET, se observan varios patrones que se repiten una y otra vez:

• Phishing y smishing que se hacen pasar por Apple o por el banco: el usuario recibe un correo, SMS o llamada que alerta de supuestos bloqueos de la cuenta de Apple Pay, pagos sospechosos, premios, reembolsos pendientes o verificación obligatoria de datos. El mensaje suele incluir un enlace a una web falsa o un número al que llamar, donde se solicitan datos bancarios, credenciales de Apple ID o códigos de un solo uso enviados por el banco.
• Fraudes en plataformas de compraventa online: estafadores que se hacen pasar por compradores asocian tarjetas robadas a Apple Pay para adquirir móviles, consolas u otros productos de alto valor en portales de segunda mano. Cuando el legítimo titular de la tarjeta desconoce el cargo, la entidad lo revierte y la plataforma exige al vendedor la devolución del dinero, pero el producto ya ha sido enviado.
• Pagos en exceso: el supuesto comprador paga deliberadamente más de lo acordado y, acto seguido, solicita que se le devuelva la diferencia a través de Apple Cash, transferencia, otra app o tarjetas regalo. Como el pago inicial procede de una tarjeta robada, termina siendo cancelado y la víctima pierde tanto el producto como el dinero que reembolsó.
• Pagos no solicitados: el usuario recibe un ingreso inesperado y, poco después, el remitente pide que se devuelva por otra vía, alegando un error. Cuando el banco anula la operación original por tratarse de un fraude, el afectado se queda sin el importe devuelto y sin el pago fantasma.
• Justificantes o recibos falsos de Apple Pay: los estafadores envían capturas de pantalla o documentos retocados que simulan que el pago se ha realizado y que el dinero está “retenido” o “en custodia” por Apple. En realidad, Apple Pay no funciona como un servicio de depósito o escrow, y el importe nunca llega a la cuenta del vendedor.
• WiFi público fraudulento y portales falsos de Apple: en aeropuertos, cafeterías o estaciones, algunos ciberdelincuentes crean puntos de acceso WiFi que imitan redes legítimas. Una vez conectado, el usuario puede ser redirigido a páginas que copian la apariencia de Apple para pedir el Apple ID, la contraseña u otros datos, con el objetivo de acceder al monedero digital o al saldo de Apple Cash.

Señales claras para detectar un Apple Pay phishing

Aunque los correos y páginas fraudulentas tienen cada vez mejor acabado, hay una serie de pistas que permiten sospechar de un intento de Apple Pay phishing o de un timo relacionado con la plataforma:

• Mensajes que presionan para actuar de inmediato: alertas de suspensión inmediata de la cuenta, bloqueos urgentes o cargos supuestamente sospechosos que exigen pinchar en un enlace “ya mismo”.
• Solicitudes de códigos de verificación, contraseñas o datos completos de la tarjeta: ni Apple ni los bancos piden este tipo de información por correo, SMS o llamada telefónica.
• Peticiones de reembolso de pagos recibidos recientemente por otros canales: si alguien te pide devolver un ingreso a través de un método alternativo (otra app, transferencia, tarjeta regalo), conviene desconfiar y verificar antes con tu banco.
• Presión para enviar productos antes de confirmar el cobro real: los estafadores se apoyan en capturas manipuladas o correos inventados para convencer al vendedor de que “el dinero está en camino”.
• Comunicaciones inesperadas de supuestos agentes de Apple o de la entidad financiera: aunque el número o el remitente parezcan legítimos, es más seguro colgar y contactar por los canales oficiales que figuran en la web o en la app del banco.

Los expertos recalcan que cualquier mensaje con un tono agresivo, alarmista o excesivamente insistente debería levantar sospechas. Tomarse unos segundos para revisar la dirección del remitente, la URL o el número de cuenta al que se pide enviar dinero puede evitar más de un disgusto.

Cómo protegerte del Apple Pay phishing y otros timos

La mejor barrera frente a estas estafas es la prevención. Las medidas de seguridad de Apple Pay son sólidas, pero necesitan ir acompañadas de buenos hábitos por parte del usuario, especialmente en un entorno donde los pagos digitales se han normalizado en España y el resto de Europa.

• Activa las notificaciones de todas las tarjetas vinculadas a Apple Pay: así recibirás un aviso inmediato cada vez que se realice un pago y podrás reaccionar con rapidez ante cualquier operación que no reconozcas.
• No compartas nunca códigos de verificación ni contraseñas: ni por teléfono, ni por correo, ni por mensajería. Los códigos de un solo uso son una de las llaves que los delincuentes intentan robar para añadir tu tarjeta a su propio monedero.
• Desconfía de pagos inesperados y solicitudes de devolución: antes de devolver dinero a nadie, confirma con tu banco que el pago está asentado, no pendiente ni sujeto a revisión.
• Evita realizar gestiones sensibles desde redes WiFi públicas: si no queda más remedio que usarlas, conviene recurrir a una VPN y evitar introducir contraseñas o datos bancarios.
• Revisa periódicamente los movimientos de tus tarjetas: dedicar unos minutos cada semana a comprobar los cargos ayuda a detectar pequeños importes sospechosos con los que los delincuentes prueban la tarjeta antes de ataques mayores.

En caso de que algo no cuadre, lo más prudente es pausar la operación, contrastar la información con la entidad bancaria y, si hace falta, rechazar la transacción o bloquear temporalmente la tarjeta desde la app del banco o desde el propio dispositivo.

Qué hacer si sospechas que has caído en una estafa con Apple Pay

Cuando el fraude ya se ha consumado o existe la duda razonable de que se ha compartido información sensible, la rapidez con la que se actúe puede marcar la diferencia entre un susto y un problema económico grave.

• Contactar lo antes posible con el banco o la entidad emisora de la tarjeta para intentar cancelar el pago o bloquearla.
• Cambiar de inmediato las contraseñas vinculadas al Apple ID, a la banca online y a otros servicios críticos, activando la autenticación en dos pasos si aún no estaba habilitada.
• Revisar el historial reciente de operaciones en Apple Pay y en las tarjetas asociadas, anotando cualquier cargo sospechoso para facilitar su análisis a la entidad financiera.
• Presentar una denuncia ante las autoridades competentes, incluyendo capturas de pantalla, correos o mensajes recibidos, y cualquier dato que pueda ayudar a trazar la estafa.

Especialistas en ciberseguridad recuerdan que, aunque los pagos móviles han simplificado la vida diaria de millones de usuarios, también permiten que un fraude se materialice en cuestión de segundos. Mantener la calma ante mensajes alarmistas, desconfiar de las ofertas demasiado buenas y revisar los detalles de cada operación son rutinas sencillas que reducen de forma notable el riesgo de caer en Apple Pay phishing y en otros engaños asociados a la plataforma.

Alberto Navarro

Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.

Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.