Delincuentes aprovechan pagos sin contacto para realizar compras fraudulentas, alerta Kaspersky

 

Una investigación de la compañía revela un nuevo esquema criminal para robar datos de tarjetas y realizar compras como si tuvieran la tarjeta física. 10 de octubre de 2025

Kaspersky reveló en una reciente investigación una nueva y sofisticada modalidad de fraude llamada “Toque Fantasma”, que logra engañar a los pagos por proximidad, es decir, las transacciones sin contacto que se hacen al acercar la tarjeta o el celular a una terminal. En cuestión de segundos, los delincuentes utilizan aplicaciones maliciosas para interceptar el token o código único de la operación y retransmitirlo a otro teléfono, que completa la compra fraudulenta como si fuera la tarjeta original de la víctima. Brasil sobresale de forma negativa en este panorama, al concentrar casi la mitad (47%) de los bloqueos de intentos de este fraude a nivel global, seguido por India, China y España. Esta investigación resulta especialmente importante en América Latina, donde prácticamente todos los usuarios de tarjetas bancarias pueden realizar pagos sin contacto. Aunque el pago por proximidad es seguro porque genera un token único que expira en segundos, la investigación de Kaspersky reveló que los ciberdelincuentes encontraron la manera de explotar la tecnología para cometer fraudes.  ¿Cómo funciona el fraude?   Presencial: En el fraude presencial, los delincuentes aprovechan la rapidez del NFC para actuar sin ser notados en lugares concurridos. Usando dos celulares, uno de los criminales se acerca lo suficiente a la víctima, ya sea en una fila, durante un concierto o incluso cuando el celular está sobre una mesa en un café, para robar el token del pago por proximidad. Ese código es enviado en tiempo real a un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para finalizar la compra fraudulenta. El resultado: la víctima pierde dinero sin ser infectada y, en la mayoría de los casos, sin percatarse de lo ocurrido.   Remoto: En esta modalidad, el fraude comienza con ingeniería social; un criminal llama a la víctima haciéndose pasar por un empleado del banco o de la compañía emisora de la tarjeta y la convence de instalar una aplicación falsa para “validar” la tarjeta. Dentro de la app, se le pide a la víctima acercar su tarjeta física al celular y, en ese instante, ocurre la estafa.   La aplicación maliciosa intercepta el token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono del delincuente. Con ese token activo, el criminal solo debe acercar su celular a una terminal para concluir la compra. La estafa suele ser única por víctima, ya que el token expira en segundos y no puede reutilizarse. Actualmente, el ataque afecta principalmente a usuarios de Android, que permite la instalación de apps fuera de tiendas oficiales.

Ejemplos de aplicaciones bancarias falsas que simulan la identidad visual de bancos reales

“Esta estafa demuestra cómo los criminales saben bien cómo explotar las reglas del juego al crear un fraude sin necesidad de ‘hackear el sistema’. Nuestro análisis muestra que, aún con las capas de seguridad existentes, la creatividad de los atacantes permitió interceptar y reenviar datos de tarjetas, transformando la conveniencia en un riesgo real para los consumidores”, explica Anderson Leite, investigador de Seguridad en Kaspersky. En canales de Telegram circulan tutoriales y videos que muestran cómo configurar y usar estas aplicaciones. Por ejemplo, la investigación halló un video de una transacción completada en una terminal con una tarjeta brasileña, con interfaz en portugués y narración en inglés, buscando llegar a un público global. Aunque presentados como soluciones para “pagos a distancia”, estos aplicativos son usados en la práctica para fraudes.

Imagen que circula en Telegram mostrando cómo se produce la estafa

Para evitar ataques de retransmisión NFC, los expertos de Kaspersky recomiendan: Contar con protección física: Use billeteras o portatarjetas que bloqueen la comunicación NFC, evitando que delincuentes lean los datos a distancia. Monitoree sus transacciones: Revise cualquier movimiento sospechoso en sus cuentas y facturas. Para evitar el fraude remoto, los especialistas aconsejan: Tener precaución al instalar apps: Descargue aplicaciones solo de tiendas oficiales y verifique la reputación del desarrollador. Usar una solución de seguridad confiable: Esta le permitirá detectar y bloquear aplicaciones maliciosas que intentan explotar la tecnología NFC. Para más información sobre cómo proteger tu vida digital, visita nuestro blog.

Acerca de Kaspersky Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos en todo el mundo. El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital de dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran. Más información en: www.kaspersky.com