CIUDAD DE MÉXICO (apro).— Autoridades y especialistas en ciberseguridad alertaron sobre una modalidad de fraude conocida como “toque fantasma”, que permite realizar cargos no autorizados mediante el uso de pagos sin contacto. La estafa aprovecha la tecnología NFC, utilizada por tarjetas bancarias, teléfonos móviles y relojes inteligentes para efectuar transacciones sin insertar la tarjeta ni introducir un código en compras de bajo monto.

La advertencia surge en un contexto de crecimiento del uso de pagos contactless en comercios, transporte y servicios digitales. Empresas de ciberseguridad, entre ellas Kaspersky, informaron desde 2024 sobre el aumento de reportes vinculados a este método de fraude en distintas regiones, principalmente en América Latina, Europa y Asia.

Cómo funciona el fraude “toque fantasma” con tecnología NFC

El “toque fantasma” consiste en la interceptación del código de autorización que se genera durante una transacción sin contacto. Ese código, conocido como token, es único y tiene una vigencia limitada, pero puede ser capturado y retransmitido casi en tiempo real para completar un pago en otra terminal.

Análisis, contexto y hechos. Da clic y síguenos en Google Noticias

De acuerdo con especialistas en seguridad digital, el fraude no clona la tarjeta ni roba directamente los datos bancarios, sino que aprovecha el proceso de comunicación inalámbrica entre la tarjeta o dispositivo de la víctima y un lector NFC controlado por los delincuentes.

Fraude presencial en espacios públicos y zonas concurridas

Una de las formas detectadas del “toque fantasma” ocurre de manera presencial. Los atacantes portan teléfonos o lectores con NFC activado y se acercan a las víctimas en lugares con alta concentración de personas, como transporte público, centros comerciales o eventos masivos.

Sin contacto físico ni interacción directa, el dispositivo del atacante se aproxima a la tarjeta o al teléfono de la víctima y captura el token de pago. Ese código se envía de inmediato a otro dispositivo que ejecuta la compra en una terminal distinta, todo en cuestión de segundos.

Modalidad remota mediante ingeniería social y aplicaciones falsas

Otra variante identificada opera de forma remota y se basa en técnicas de ingeniería social. En este esquema, los delincuentes contactan a la víctima mediante llamadas, mensajes o correos electrónicos y se hacen pasar por personal del banco o de una empresa financiera.

Durante el engaño, solicitan instalar una aplicación fuera de tiendas oficiales con el argumento de verificar o proteger la cuenta. Una vez instalada, la aplicación pide acercar la tarjeta física al teléfono. En ese momento, el software extrae el token NFC y lo retransmite para realizar cargos no autorizados.

Empresas de ciberseguridad reportaron que esta modalidad ha sido detectada en campañas dirigidas a usuarios de Android, aunque el método no se limita a un sistema operativo específico.

Por qué los pagos sin contacto pueden ser vulnerables

La tecnología NFC está diseñada para operar a distancias cortas y generar códigos de un solo uso, lo que reduce el riesgo de clonación tradicional. Sin embargo, los especialistas señalaron que la rapidez del proceso de autorización permite a los delincuentes explotar el breve intervalo de tiempo en que el token es válido.

Kaspersky informó que los intentos de este tipo de fraude se han concentrado principalmente en países como Brasil, India, China y España, aunque no existen cifras públicas específicas por país debido a que muchos casos se reportan directamente a instituciones bancarias.

Recomendaciones ante cargos no reconocidos por pagos sin contacto

Ante los reportes del “toque fantasma”, especialistas en seguridad digital y entidades financieras recomiendan a los usuarios:

• Desactivar la función NFC en el teléfono o dispositivo cuando no esté en uso.
• Utilizar carteras o fundas con bloqueo RFID para tarjetas bancarias.
• Activar notificaciones en tiempo real de movimientos bancarios.
• Evitar instalar aplicaciones fuera de tiendas oficiales.
• Desconfiar de llamadas o mensajes que soliciten validar tarjetas o acercarlas al teléfono.

En caso de detectar un cargo no reconocido, las recomendaciones incluyen contactar de inmediato al banco, bloquear el medio de pago y realizar la aclaración correspondiente para evitar más transacciones.

Aumento de alertas por fraudes digitales vinculados a pagos electrónicos

El “toque fantasma” se suma a otras modalidades de fraude digital detectadas en los últimos años conforme crece el uso de pagos electrónicos y billeteras digitales. Autoridades financieras han reiterado que los sistemas continúan actualizándose, mientras los delincuentes adaptan nuevas técnicas para explotar vulnerabilidades operativas.