“Toque fantasma”, la nueva estafa que clona pagos sin contacto

La firma de seguridad Kaspersky alertó sobre una nueva estafa llamada “toque fantasma”, con la que delincuentes interceptan pagos sin contacto para hacer compras como si tuvieran la tarjeta física del comprador.

El fraude puede ocurrir de forma presencial, cuando los criminales interceptan el token del pago con dos celulares en lugares concurridos, o de forma remota, a través de ingeniería social que convence a las víctimas de instalar aplicaciones falsas que capturan los datos de sus tarjetas.

La compañía advirtió que América Latina está en riesgo, ya que cada vez más usuarios bancarios usan tarjetas o celulares con NFC para pagar en tiendas, restaurantes y transporte público.

¿Qué es el “toque fantasma” y cómo roban sin tocarte?

Aunque los pagos sin contacto son considerados seguros porque generan un código único (token) para cada transacción, los ciberdelincuentes han encontrado formas de explotar esta tecnología sin necesidad de hackear los sistemas.

El ataque tiene dos variantes principales:

1. Modalidad presencial

• Un delincuente se acerca a la víctima en una fila, el metro o un café
• Usa su celular para leer el token generado por la tarjeta o el celular de la víctima, gracias al NFC
• Ese token se envía en tiempo real a otro cómplice que lo usa en una terminal para completar una compra
• Todo ocurre en segundos y sin contacto físico, por eso el nombre “toque fantasma”

2. Modalidad remota

• El fraude comienza con una llamada falsa de alguien que se hace pasar por el banco
• Convencen a la víctima de instalar una app fraudulenta para “verificar” la tarjeta
• La app pide acercar la tarjeta al celular y roba el token en ese momento
• Ese token se reenvía al dispositivo del criminal, quien lo usa de inmediato para comprar

Según Kaspersky, el “toque fantasma” ya ha sido detectado en países como India, China, España y, especialmente, Brasil, que concentra casi el 50% de los intentos de este tipo de fraude a nivel mundial.

Telegram: el mercado negro del “toque fantasma”

La investigación también encontró videos y tutoriales en Telegram donde se enseña cómo configurar los celulares para interceptar y reenviar los tokens.

Algunos materiales muestran transacciones reales hechas con tarjetas brasileñas, usando apps en portugués y con narraciones en inglés, lo que apunta a una operación global.

Consejos para protegerse ante el “toque fantasma”

Contra el fraude presencial:

• Use carteras o portatarjetas que bloqueen la comunicación NFC.
• Monitoree sus transacciones y revise cualquier movimiento sospechoso.

Contra el fraude remoto:

• Instale apps solo desde tiendas oficiales y verifique la reputación del desarrollador.
• Use soluciones de seguridad confiables que detecten y bloqueen apps maliciosas.

Con estas precauciones, los expertos aseguran que es posible seguir usando los pagos sin contacto de forma segura, evitando ser víctima del “toque fantasma”.

No es el única estafa reportada a partir de “pagos sin contacto”

Otra estafa reportada puede ocurrir mientras el usuario está en un concierto o incluso caminando, confirmó ESET, otra empresa de ciberseguridad, en marzo de 2025

“Alguien puede robar dinero de tu cuenta bancaria sin siquiera tocarte“.

De acuerdo con la empresa este tipo de robo suele suceder cuando estás distraído o en medio de multitudes.

ESET destacó que los delincuentes pueden realizar estos fraudes capturando información de tarjetas con chips RFID sin que la víctima se dé cuenta a través de dispositivos portátiles de lectura RFID/NFC.

“Estos dispositivos son pequeños y discretos, lo que permite leer los datos de forma rápida y sin necesidad de contacto físico”.

La clave es la tecnología NFC de tu tarjeta o celular: ¿qué es?

Las tarjetas contactless son tarjetas físicas con un chip RFID o NFC que permite realizar pagos al acercarlas a un lector, por lo que no requieren contacto físico ni solicitan un PIN para hacer pagos pequeños, dependiendo del límite de la transacción establecido por el usuario.

Por otro lado, los pagos NFC mediante smartphones o smartwatches permiten realizar pagos sin contacto, pero el dispositivo es el intermediario. Se requieren billeteras digitales para realizar las transacciones, aunque en este caso, se suelen pedir autenticaciones con PIN o datos biométricos.

“Ambos métodos utilizan la misma tecnología NFC, pero la principal diferencia radica en el medio (tarjeta física frente a dispositivo móvil) y las capas adicionales de seguridad que los dispositivos móviles suelen ofrecer”.

Cabe destacar que NFC significa “Near Field Communication”, mientras que RFID significa “Radiofrecuency Identification”, tecnologías que permiten la comunicación inalámbrica entre dispositivos, facilitando pagos, seguimiento de productos y control de accesos, según ESET.

El NFC es una versión más avanzada de RFID, que permite la comunicación bidireccional entre dispositivos, mientras que el RFID se limita a la comunicación unilateral del lector a la etiqueta.

“La principal ventaja de NFC es su practicidad, ya que permite pagos rápidos sin necesidad de introducir contraseñas y facilita la vida a consumidores y empresas”, de acuerdo con la empresa de ciberseguridad.

Otras recomendaciones para evitar “estafas NFC

ESET recomendó:

• Límites de pago bajos: establece un límite bajo para minimizar pérdidas si roban tus datos bancarios.
• Autenticación biométrica o PIN: usa PIN, huella o rostro para evitar pagos no autorizados desde tu dispositivo.
• Desactivar pagos sin contacto: si no usas NFC, desactívalo en tu tarjeta o dispositivo por seguridad.
• Asegura tus dispositivos: protege con contraseña, patrón o biometría para dificultar el acceso a delincuentes.
• Mantén los dispositivos actualizados: las actualizaciones corrigen fallas que podrían ser explotadas para vulnerar tu seguridad.
• Usa bloqueadores de RFID: estas fundas dificultan la lectura no autorizada de tus tarjetas por cercanía.

Nota de origen: https://www.unotv.com/tecnologia/cuidado-con-el-toque-fantasma-la-nueva-estafa-que-clona-pagos-sin-contacto/