Una nueva ofensiva de ciberdelincuencia dirigida a usuarios en España ha puesto el foco en una tecnología cotidiana: el NFC del móvil. La campaña, detectada por investigadores de seguridad, combina mensajes fraudulentos, aplicaciones falsas para Android y técnicas de ingeniería social con un objetivo claro: obtener datos bancarios de las víctimas y utilizarlos para realizar pagos sin su consentimiento.
El elemento diferencial de esta operativa es su capacidad para replicar tarjetas físicas en dispositivos controlados por los atacantes, lo que permite ejecutar transacciones contactless con los datos bancarios robados sin necesidad de tener la tarjeta original.
Un engaño que mezcla tecnología real y suplantación de marcas
El ataque comienza con un mensaje o anuncio que alerta de un supuesto problema de seguridad. Puede tratarse de un cargo sospechoso, un bloqueo preventivo o una verificación urgente. En ese contexto, el usuario es redirigido a una web que imita el aspecto de una tienda oficial de aplicaciones, donde se le invita a descargar una herramienta aparentemente diseñada para proteger su cuenta.
Estas aplicaciones, con nombres como “Seguridad NFC – Bloqueador de Cargos”, están diseñadas para generar confianza. Una vez instaladas, muestran interfaces que simulan pertenecer a entidades conocidas como Santander, CaixaBank o Unicaja, lo que refuerza la credibilidad del engaño.
En realidad, todo el proceso está orientado a capturar datos bancarios mediante una secuencia cuidadosamente diseñada que aprovecha la familiaridad del usuario con los pagos móviles.
El papel clave del NFC en el fraude
La tecnología NFC, presente en la mayoría de smartphones actuales, permite realizar pagos acercando el dispositivo a un terminal. Los ciberdelincuentes han encontrado en esta funcionalidad una vía eficaz para obtener datos bancarios sin necesidad de recurrir a técnicas más complejas.
Tras instalar la aplicación, la víctima recibe instrucciones para acercar su tarjeta al móvil como parte de una supuesta verificación. En algunos casos, también se le solicita introducir el PIN. Este paso resulta crítico, ya que permite a los atacantes recopilar datos bancarios completos que posteriormente pueden ser utilizados para clonar la tarjeta en otra cartera digital.
De este modo, los delincuentes consiguen trasladar los datos bancarios a otro dispositivo y operar como si fueran el titular legítimo, realizando pagos en comercios físicos o incluso retiradas en terminales adaptados.
Un fraude cada vez más sofisticado y adaptado al usuario
Este tipo de campañas no surge de forma aislada. Los investigadores han observado vínculos con infraestructuras criminales que llevan meses operando, adaptando sus tácticas en función del país y del contexto. En este caso, la personalización para el mercado español ha sido clave, con el uso de marcas bancarias reconocidas y mensajes adaptados a los hábitos locales.
El objetivo ya no es únicamente obtener credenciales o códigos de verificación. Ahora, los atacantes buscan directamente datos bancarios asociados a tarjetas físicas, lo que aumenta el impacto económico potencial. Este cambio refleja una evolución clara en el fraude digital, que se vuelve más directo y difícil de detectar.
“Lo preocupante de esta campaña es que utiliza una tecnología cotidiana y ampliamente adoptada, como el NFC, para construir un engaño muy convincente. El usuario cree que está protegiendo su cuenta, cuando en realidad está facilitando datos críticos a los delincuentes”, explica Josep Albors, director de investigación y concienciación de ESET España. “Para un usuario no especializado, la secuencia puede parecer razonable, precisamente porque mezcla elementos conocidos. Ahí reside buena parte de su peligrosidad”.
Pagos no autorizados y pérdida de control
Una vez que los datos bancarios han sido capturados, los atacantes pueden utilizarlos de forma inmediata. La rapidez con la que se ejecutan las operaciones dificulta la reacción de la víctima, que en muchos casos no detecta el fraude hasta que revisa sus movimientos.
El uso de pagos contactless añade una capa adicional de complejidad, ya que permite realizar transacciones rápidas sin necesidad de autenticación adicional en importes bajos o medios. Esto convierte el robo de datos bancarios en una amenaza directa para el usuario, con consecuencias económicas inmediatas.
Además, la capacidad de replicar la tarjeta en múltiples dispositivos amplía el alcance del fraude, permitiendo a los ciberdelincuentes operar de forma simultánea en distintos puntos.
Recomendaciones para evitar caer en la trampa
Ante este tipo de amenazas, los expertos en ciberseguridad insisten en la importancia de adoptar medidas preventivas. La primera línea de defensa sigue siendo la desconfianza ante mensajes alarmistas que soliciten acciones urgentes relacionadas con cuentas bancarias.
También es fundamental evitar la instalación de aplicaciones desde enlaces recibidos por SMS, correo electrónico o mensajería instantánea. Las tiendas oficiales siguen siendo el canal más seguro, aunque incluso en ese entorno conviene verificar el desarrollador y las valoraciones.
Otra recomendación clave es no facilitar datos bancarios ni acercar la tarjeta al móvil salvo en contextos plenamente verificados. Ninguna entidad financiera solicita este tipo de acciones a través de aplicaciones externas o mensajes no solicitados.
Mantener el dispositivo actualizado y contar con soluciones de seguridad capaces de detectar amenazas añade una capa adicional de protección frente a este tipo de campañas.
