Toque Fantasma: nuevo fraude digital que explota pagos sin contacto
El Toque Fantasma es un fraude digital que permite a los atacantes realizar cargos sin contacto capturando el token NFC de tu tarjeta, incluso sin que lo notes. Conoce cómo funciona y cómo protegerte.
En los últimos meses, hemos observado un incremento de una sofisticada modalidad de fraude dirigida a usuarios de tarjetas y dispositivos habilitados para pagos sin contacto (contactless). Esta técnica, denominada Toque Fantasma, se aprovecha de la tecnología NFC (Near Field Communication) para realizar cargos no autorizados sin que la víctima note actividad sospechosa en su cuenta bancaria.
¿Qué es el toque fantasma?
El Toque Fantasma es un esquema de fraude que intercepta el token de pago generado durante una transacción sin contacto. Los pagos contactless funcionan generando un código único de autorización que expira en segundos; sin embargo, los atacantes han desarrollado formas de capturar y retransmitir estos códigos para realizar compras ilegítimas.
Cómo operan los ciberdelincuentes
Este fraude puede manifestarse de dos formas principales:
Ingeniería Social + Aplicaciones Falsas (remoto)
Los atacantes se hacen pasar por representantes de bancos o proveedores legítimos y contactan a la víctima mediante llamadas, mensajes o correos. Durante el engaño, convencen al usuario de instalar una aplicación fuera de tiendas oficiales, supuestamente para “verificar” o “proteger” su cuenta.
Una vez instalada, la aplicación maliciosa solicita que la tarjeta física sea acercada al teléfono bajo un pretexto de validación. En ese momento, el software extrae el token NFC que se genera en la comunicación con la tarjeta, lo retransmite en tiempo real al atacante y ese token se utiliza inmediatamente para completar un pago fraudulento en otra terminal.
2. Captura presencial del token (físico)
En espacios concurridos, delincuentes pueden acercarse discretamente con dispositivos móviles que leen la señal NFC de tu tarjeta o teléfono. La señal capturada se transmite a otro dispositivo que completa la transacción sin que el titular de la tarjeta haya autorizado nada.
¿Por qué es peligroso?
- El fraude no requiere acceso directo a los datos bancarios completos (números, PIN, etc.).
- El token robado permite compras inmediatas sin validar la identidad con PIN ni huella.
- La víctima puede no enterarse hasta revisar su estado de cuenta.
Recomendaciones de ciberseguridad
Para protegerte frente a esta amenaza, recomendamos:
Nunca instalar aplicaciones fuera de tiendas oficiales. Descarga solo aplicaciones verificadas y revisa que el desarrollador sea legítimo.
Desactiva el NFC cuando no lo uses. Esto previene lecturas remotas no autorizadas de tu tarjeta o dispositivo.
Usa fundas o billeteras con bloqueo RFID/NFC. Estas protegen tus tarjetas físicas de lecturas accidentales o malintencionadas.
Monitorea tus movimientos bancarios con alertas en tiempo real. Configura notificaciones de todos los movimientos para detectar cargos sospechosos al instante.
Implementa soluciones de seguridad confiables. Instala software antivirus/móvil que detecte y bloquee aplicaciones maliciosas.