Muchos de nosotros creemos que pagar con el teléfono móvil es más seguro que utilizar una tarjeta física. Sin embargo, he notado recientemente que esa percepción de seguridad puede ser un tanto ilusoria. Han surgido nuevas formas de fraude que entrelazan el ámbito digital y físico de manera tan ingeniosa que resulta difícil de imaginar. En este artículo, te detallo cómo operan estos fraudes y, sobre todo, qué medidas puedes tomar para no convertirte en una víctima.
Los sistemas de pago móvil como Apple Pay brindan comodidad y cuentan con características de seguridad como la autenticación biométrica (Face ID) y alertas instantáneas, lo que inicialmente proporcionó una sólida sensación de seguridad a muchos usuarios. Sin embargo, en tiempos recientes, los expertos en ciberseguridad han descubierto estafas alarmantes relacionadas con las tarjetas NFC. Lo más preocupante es que no necesitan tocar tu tarjeta: solo requieren haber obtenido tus datos en algún momento anterior.
El nuevo engaño: tarjetas auténticas, móviles fraudulentos
Los ciberdelincuentes crean cuentas falsas en Google Wallet o Apple Pay, vinculando tarjetas robadas a dichas cuentas. ¿Cómo logran conseguir esas tarjetas? Estos datos suelen obtenerse a través de técnicas de phishing, donde los delincuentes diseñan sitios web fraudulentos que imitan tiendas en línea, servicios de mensajería o portales de pago. Allí, solicitan que ingreses los detalles de tu tarjeta para realizar un pequeño cargo de verificación, además de un código OTP que recibes por SMS. Y así, ya tienen toda la información.
Sin embargo, no realizan la compra de inmediato. Guardan la información. A veces, incluso por semanas o meses. De este modo, la víctima olvida el asunto, y cuando aparece el cargo, no tiene ni idea de cómo sucedió. Durante ese tiempo, los delincuentes han vinculado la tarjeta a una aplicación de pago móvil en un smartphone. Esa persona (una «mula») utiliza ese teléfono para pagar en una tienda física o retirar dinero de un cajero. Y, claro, como la tarjeta está en un móvil con NFC, no es necesario ingresar un PIN ni confirmar nada. Solo acercar el teléfono y realizar el pago.
La técnica del «Ghost Tap»
Una técnica especialmente sofisticada y preocupante es la retransmisión NFC en tiempo real, conocida en el ámbito de la ciberseguridad como «Ghost Tap». En esencia, utilizan dos teléfonos. Uno almacena las tarjetas robadas en la aplicación de pago, y el otro es el que efectúa el pago en la tienda. Ambos dispositivos están conectados a internet.
Utilizando una aplicación como NFCGate, el primer móvil envía los datos de pago al segundo, que se encuentra en otro lugar (incluso en otro país), y que se acerca al terminal de pago. Para el lector NFC, esa señal es completamente válida, como si tuviera delante el móvil auténtico. Y lo más inquietante: el móvil que realiza el pago no tiene ninguna tarjeta almacenada. Solo está recibiendo los datos. Si lo atrapan, no hay manera directa de demostrar que ha cometido un fraude.
Cómo protegerte
A pesar de lo complejo que parece todo esto, existen varias formas de protegerse. Aquí te dejo algunos consejos que aplico personalmente:
- No ingreses los datos de tu tarjeta en sitios web que no conoces. Si recibes un SMS indicando que debes pagar una multa o confirmar un paquete, accede tú a la web oficial, no uses el enlace del mensaje.
- Activa las notificaciones de pago por SMS o app para todas tus tarjetas. De esta manera, te enterarás al instante de cualquier cargo sospechoso.
- Utiliza tarjetas virtuales para compras en línea. La mayoría de los bancos las ofrecen sin costo. Considera generar una nueva tarjeta virtual para compras de alto valor o anualmente como medida de precaución adicional.
- No uses el mismo número de tarjeta para pagos móviles y compras en línea. Es mejor tener una diferente para cada tipo de transacción.
- Desconfía de cualquier aplicación que solicite que acerques la tarjeta al móvil, especialmente si la descargaste fuera de la tienda oficial.
Medidas esenciales para protegerse del fraude en pagos móviles
| Medida de Protección | Acción Específica | Por qué es Importante |
|---|---|---|
| Verificar Origen de Solicitudes de Datos | No introducir datos de tarjeta en sitios accedidos desde enlaces en SMS/email no solicitados. Acceder siempre tecleando la URL oficial. | Evita el phishing y la entrega directa de datos sensibles y OTPs a los estafadores. |
| Activar Notificaciones de Pago | Configurar alertas por SMS o app para todas las transacciones con tarjeta. | Permite la detección inmediata de cargos no autorizados. |
| Uso de Tarjetas Virtuales | Utilizar tarjetas virtuales para compras en línea, preferiblemente de un solo uso o con saldo limitado. | Limita la exposición de los datos de la tarjeta principal. |
| Segregación de Tarjetas | No usar el mismo número de tarjeta para pagos móviles y compras en línea. | Reduce el riesgo en caso de compromiso de una de las tarjetas. |
| Desconfiar de Apps Sospechosas | Evitar apps que pidan acercar la tarjeta al móvil, especialmente si son de fuentes no oficiales. | Previene el posible uso de malware para leer datos de tarjetas vía NFC. |
Los bancos y plataformas como Apple Pay o Google Wallet continúan mejorando su seguridad, pero los ciberdelincuentes también están en constante evolución. Cuanto más informados estemos sobre sus métodos, más complicado se les hará actuar.
Preguntas clave sobre fraudes en pagos móviles y Apple Pay
¿Cómo vinculan los ciberdelincuentes tarjetas robadas a Apple Pay o Google Wallet?
Obtienen los datos de tarjetas a través de sitios web fraudulentos que aparentan ser legítimos y los utilizan para crear cuentas falsas en aplicaciones de pago móvil.
¿Qué es el método Ghost Tap en fraudes NFC?
Es una técnica que permite retransmitir datos NFC en tiempo real entre dos móviles conectados a internet, facilitando pagos remotos con tarjetas robadas.
¿Se puede evitar este tipo de fraude al pagar con el móvil?
Sí, utilizando tarjetas virtuales, activando notificaciones de pago y evitando ingresar datos en sitios web desconocidos.
¿Qué señales indican que puede haber un fraude con tu tarjeta?
Cargos inesperados, notificaciones de pago que no reconoces o mensajes sospechosos solicitando datos de tu tarjeta.
¿Están las plataformas como Apple Pay y Google Wallet mejorando su seguridad?
Sí, están invirtiendo continuamente en nuevas medidas de protección, aunque los ciberdelincuentes también actualizan sus métodos.
