El pago por contacto o NFC se diseñó para ser rápido, cómodo y, en teoría, seguro. Ese equilibrio entre experiencia de usuario y controles antifraude ha impulsado su adopción global, especialmente en compras de bajo importe y en comercios con gran rotación.
Sin embargo, la misma inmediatez que lo hace atractivo para consumidores y negocios está siendo explotada por redes criminales que han encontrado formas de convertir un gesto cotidiano en una vía de monetización ilícita.
En los últimos meses se ha observado un salto cualitativo en este tipo de fraude de NFC, con herramientas específicas para Android que facilitan transacciones no autorizadas a distancia. Investigadores de Group-IB describen un ecosistema que se mueve en canales de mensajería, con “paquetes” de software, atención al cliente e incluso servicios asociados para retirar fondos o comprar bienes físicos con tarjetas comprometidas, lo que acelera el escalado del delito.
Del “tocar para pagar” al “pagar sin estar”
El núcleo del problema es que los atacantes han convertido la comunicación de proximidad en un flujo que puede “viajar” por internet. Con técnicas de relé, el intercambio que normalmente ocurre a centímetros entre tarjeta, móvil y terminal se retransmite entre dos dispositivos controlados por la organización criminal, de modo que el comercio recibe una operación que aparenta ser presencial.
Group-IB encuadra esta modalidad dentro de esquemas conocidos como “Ghost Tap”, donde se intermedian los mensajes de pago para simular que la tarjeta está físicamente en el punto de venta. Group-IB
En la práctica, esta forma de abuso en NFC suele apoyarse en dos piezas de software coordinadas. Una se coloca en el entorno de la víctima para capturar el diálogo de la tarjeta cuando se aproxima al teléfono, y otra se ejecuta en el dispositivo del delincuente para iniciar el cobro frente al terminal.
La clave es que la tecnología de pago por contacto NFC no “rompe” por sí misma, sino que se fuerza el contexto: se engaña al usuario para que habilite el canal, y después se redirige la comunicación hacia el estafador.
Cómo captan víctimas con ingeniería social móvil
La fase de entrada raramente empieza con una infección compleja. Lo habitual es un gancho de mensajería y una llamada que introduce presión, urgencia o miedo. El smishing atrae con supuestos avisos del banco, bloqueos de tarjeta o incidencias de seguridad; el vishing completa el engaño con un interlocutor que se hace pasar por soporte y guía el proceso paso a paso.
Group-IB indica que muchas víctimas terminan instalando paquetes APK fuera de tiendas oficiales y, a continuación, se les convence para acercar su tarjeta al teléfono, habilitando así la captura del intercambio de pago.
Este detalle es crítico porque desplaza la estafa desde el malware “tradicional” hacia un fraude asistido. El atacante no necesita robar credenciales de banca online para operar de inmediato; le basta con inducir una acción concreta que abre la puerta al relé.
A partir de ahí, la comunicación NFC queda expuesta a ser retransmitida hacia el dispositivo del criminal, normalmente a través de infraestructura de mando y control que actúa como puente entre ambos extremos.
Telegram como mercado y servicio posventa del fraude NFC
Una de las características más preocupantes es la industrialización del modelo. No se trata de herramientas aisladas, sino de variantes comercializadas en comunidades de ciberdelincuencia, con rebranding y disfraces para parecer aplicaciones legítimas.
Group-IB afirma haber identificado más de 54 muestras de APK relacionadas con esta operativa, algunas camufladas con identidades visuales de entidades reales, lo que reduce fricción y mejora la tasa de instalación.
Este enfoque también abarata el “coste” operativo para los afiliados, porque el proveedor entrega la herramienta y el acompañamiento, mientras que otros actores se concentran en la captación de víctimas.
Ese reparto del trabajo incrementa la escala: campañas de mensajería masiva, call centers delictivos y un catálogo de software que evoluciona con rapidez. En paralelo, la logística del cobro se externaliza o se integra en el mismo circuito, incluyendo la venta o alquiler de terminales y la coordinación de personas que ejecutan compras o retiros.
El momento del cobro y el papel de los terminales
Una vez que el relé está funcionando, el siguiente paso es monetizar. En algunos casos se usan terminales de punto de venta NFC obtenidos de forma irregular para ejecutar cargos y transformar el fraude en efectivo o en saldos fácilmente “lavables”.
Group-IB documenta que, solo en el caso de un proveedor de terminales de baja calidad vinculado al ecosistema, se registraron al menos 355.000 dólares en transacciones ilegítimas entre noviembre de 2024 y agosto de 2025, un indicador de volumen que sugiere repetición y continuidad del esquema.
En otras variantes de ciberestafa NFC, el cobro se desplaza al mundo físico mediante redes de mulas. En lugar de atacar a un usuario concreto, se preparan carteras móviles ya cargadas con tarjetas comprometidas y se distribuyen a personas en distintos países para comprar productos de alto valor que luego se revenden. Este método combina fraude digital con delincuencia patrimonial y complica la atribución, porque el rastro se reparte entre varios actores.
Señales para bancos, comercios y usuarios
Las redes de pagos y las entidades financieras NFC llevan tiempo alertando sobre el fraude por relé, precisamente porque la operación puede “parecer” legítima desde la perspectiva del terminal. Visa ha descrito el fraude de retransmisión como una amenaza emergente para el ecosistema de pagos, en la medida en que permite abusar de flujos que se perciben como presenciales.
Para la defensa, el foco se desplaza a patrones: altas sucesivas de tarjetas en carteras móviles, cambios bruscos de geolocalización, oleadas de intentos de pago en ventanas muy cortas o actividad anómala asociada a dispositivos con permisos inusuales.
En el lado del usuario, el punto decisivo suele estar antes: desconfiar de instrucciones telefónicas para instalar aplicaciones, evitar instalar APK fuera de canales oficiales y cortar cualquier conversación que solicite “verificación” acercando una tarjeta al móvil. En última instancia, cuando aparece un cargo no reconocido, actuar rápido con el banco y conservar evidencias puede marcar la diferencia.
El reto de fondo es que la confianza en el pago sin contacto NFC no puede basarse solo en el gesto de acercar el teléfono.
A medida que los delincuentes perfeccionan el abuso de NFC, la seguridad dependerá cada vez más de la combinación entre educación del usuario, telemetría antifraude y controles de riesgo capaces de detectar comportamientos “imposibles” aunque la transacción, sobre el papel, parezca perfectamente normal. NFC
