CIUDAD DE MÉXICO (apro).—  Una nueva modalidad de fraude denominada “toque fantasma” utiliza la tecnología de comunicación de campo cercano (NFC, por sus siglas en inglés) para interceptar pagos sin contacto y realizar compras fraudulentas.
De acuerdo con un informe publicado por Kaspersky el 7 de octubre de 2025, ciberdelincuentes emplean dispositivos o aplicaciones que capturan los tokens de autenticación que se generan cuando una persona paga con su tarjeta o teléfono por medio de NFC.

La compañía de ciberseguridad explicó que el ataque funciona al retransmitir el token legítimo a otro dispositivo en tiempo real, permitiendo que la transacción se complete como si la efectuara el titular del medio de pago. En la mayoría de los casos, la víctima no percibe la actividad porque el proceso ocurre en segundos.

El análisis de Kaspersky señala que el fraude tiene dos variantes: una presencial, donde los atacantes utilizan dos dispositivos cercanos a la víctima para capturar y replicar la señal, y una remota, en la que inducen a los usuarios a instalar una aplicación maliciosa que obtiene el token al acercar la tarjeta o el teléfono al dispositivo.

Análisis, contexto y hechos. Da clic y síguenos en Google Noticias.

Cómo ocurre el “toque fantasma” en pagos NFC

En la modalidad presencial, el atacante se aproxima a la víctima en lugares concurridos como estaciones de transporte o cafeterías. Con un lector NFC, capta la señal de la tarjeta o del teléfono que tiene activado el pago sin contacto.
De inmediato, otro cómplice recibe el token en un segundo dispositivo y lo utiliza frente a un terminal de pago, completando una compra que se carga a la cuenta original.

En el método remoto, los delincuentes contactan a las víctimas haciéndose pasar por personal de un banco o de una institución financiera. Les piden instalar una aplicación que supuestamente sirve para “validar” la tarjeta, pero que en realidad capta el token NFC.
Ese token se transmite al atacante, quien lo usa en otra ubicación para hacer compras de bajo monto que suelen pasar inadvertidas.

Investigadores de The Hacker News reportaron recientemente la aparición de un malware para Android denominado PhantomCard, diseñado para interceptar y reenviar datos NFC desde el teléfono de la víctima hacia el dispositivo del atacante.
Este tipo de software malicioso amplía el alcance del “toque fantasma”, ya que permite operar sin necesidad de contacto físico entre el delincuente y la víctima.

Presencia del fraude en América Latina

De acuerdo con Kaspersky, se han registrado incidentes de este tipo en distintos países de América Latina, incluyendo México, donde el uso de pagos sin contacto ha crecido en los últimos años.
El informe indica que la técnica se basa en el mismo principio de “relay NFC”, empleado por grupos criminales en Asia y Europa. Estos grupos venden dispositivos capaces de reproducir la señal capturada y los utilizan en tiendas físicas para realizar compras con tarjetas robadas cargadas en billeteras digitales.

La firma de inteligencia Recorded Future documentó operaciones de redes criminales que ofrecen servicios de retransmisión NFC y comercializan los equipos necesarios para realizar ataques del tipo “toque fantasma”.
En varios casos, las organizaciones reclutan personas que actúan como “mulas” para hacer las compras físicas, mientras los operadores técnicos capturan y transmiten las señales.

Aunque los tokens NFC son únicos y caducan en segundos, los delincuentes ejecutan el ataque en tiempo real, antes de que la señal expire. Por ese motivo, las instituciones financieras enfrentan dificultades para detectar la actividad en el momento en que ocurre.

Riesgos y detección del fraude del “toque fantasma”

La estafa afecta principalmente a usuarios que realizan pagos sin contacto sin supervisar el proceso o que mantienen activado el NFC en todo momento.
Debido a que las transacciones suelen ser de bajo monto, muchas veces no requieren PIN ni autenticación adicional, lo que facilita su aprobación.
Kaspersky advierte que las víctimas suelen descubrir el fraude hasta que revisan sus movimientos bancarios y detectan cargos que no realizaron.

Los expertos señalan que el ataque es posible debido a la velocidad con que se completan las operaciones NFC. El sistema está diseñado para emitir un token por cada transacción, el cual se valida en milisegundos. Si un atacante logra interceptarlo en ese lapso, puede usarlo para pagar en otro lugar.

Medidas de prevención

Las recomendaciones de Kaspersky para evitar ser víctima del “toque fantasma” incluyen:

Desactivar la función NFC cuando no se utilice.
Esto impide que dispositivos cercanos puedan leer la señal de la tarjeta o del teléfono.

Usar carteras o fundas con bloqueo RFID o NFC.
Estos accesorios evitan que la señal sea captada por lectores externos.

Evitar instalar aplicaciones fuera de las tiendas oficiales.
Las apps no verificadas pueden contener código malicioso capaz de interceptar datos de pago.

Revisar periódicamente los movimientos bancarios.
Detectar cargos pequeños o desconocidos ayuda a identificar fraudes tempranos.

Confirmar el comercio y el monto antes de autorizar un pago sin contacto.
Algunos ataques se aprovechan de la distracción del usuario para redirigir el token a otra transacción.

Reportar de inmediato cualquier actividad sospechosa al banco o institución emisora.
Las entidades pueden bloquear la tarjeta o el servicio NFC para prevenir nuevas transacciones.

Aumento de este tipo de fraudes

El “toque fantasma” forma parte de una tendencia más amplia de fraudes que aprovechan la tecnología sin contacto y las vulnerabilidades del ecosistema móvil.
Aunque los sistemas de pago implementan medidas de cifrado avanzadas, los ataques de retransmisión en tiempo real representan un desafío para la detección automatizada.
Kaspersky y Recorded Future coinciden en que los fraudes con NFC seguirán en aumento mientras crezca el uso de esta tecnología en pagos cotidianos.