NFC

Ataques de skimming con NFC

Cómo aprovechan los delincuentes la conocida función “paga con tu teléfono” para robarte el dinero.

Stan Kaminsky
28 Ene 2026

Gracias a la comodidad de los pagos mediante NFC y teléfonos inteligentes, muchas personas ya no llevan carteras ni recuerdan los PIN de sus tarjetas bancarias. Todas sus tarjetas residen en una aplicación de pago, y usarla es más rápido que buscar a tientas una tarjeta física. Los pagos móviles también son seguros: la tecnología se desarrolló hace relativamente poco tiempo e incluye numerosas protecciones antifraude. Sin embargo, los delincuentes han inventado varias formas de dar mal uso a la NFC y robar tu dinero. Afortunadamente, proteger tus fondos es muy sencillo: solo tienes que conocer estos trucos y evitar situaciones de uso de NFC que impliquen riesgos.

¿Qué es la retransmisión NFC y NFCGate?

La retransmisión NFC es una técnica mediante la cual los datos transmitidos de forma inalámbrica entre una fuente (como una tarjeta bancaria) y un receptor (como un terminal de pago) son interceptados por un dispositivo intermedio y retransmitidos en tiempo real a otro. Imagina que tienes dos teléfonos inteligentes conectados a Internet, cada uno con una aplicación de retransmisión instalada. Si acercas una tarjeta bancaria física al primer teléfono inteligente y mantienes el segundo teléfono inteligente cerca de un terminal o cajero automático, la aplicación de retransmisión del primer teléfono inteligente leerá la señal de la tarjeta mediante NFC y la retransmitirá en tiempo real al segundo teléfono inteligente, que a su vez transmitirá esta señal al terminal. Desde la perspectiva del terminal, todo parece como si se hubiera pasado una tarjeta real, aunque la tarjeta en sí pueda estar físicamente en otra ciudad o país.

Esta tecnología no se creó originalmente para cometer delitos. La aplicación NFCGate apareció en 2015 como una herramienta de investigación después de que fuera desarrollada por estudiantes de la Universidad Técnica de Darmstadt en Alemania. Estaba destinada al análisis y la depuración del tráfico NFC, así como a fines educativos y experimentos con tecnología sin contacto. NFCGate se distribuyó como una solución de código abierto y se utilizó en círculos académicos y de aficionados.

Cinco años después, los ciberdelincuentes se dieron cuenta del potencial de la retransmisión NFC y comenzaron a modificar NFCGate añadiendo modificaciones que le permitían ejecutarse a través de un servidor malicioso, disfrazarse como software legítimo y llevar a cabo escenarios de ingeniería social.

Lo que comenzó como un proyecto de investigación se transformó en la base de toda una clase de ataques destinados a drenar cuentas bancarias sin acceso físico a tarjetas bancarias.

Un historial de uso indebido

Los primeros ataques documentados con un NFCGate modificado se produjeron a finales de 2023 en República Checa. A principios de 2025, el problema se había vuelto a gran escala y evidente: los analistas de ciberseguridad descubrieron más de 80 muestras únicas de malware creadas en el marco de NFCGate. Los ataques evolucionaron rápidamente, con capacidades de retransmisión NFC integradas en otros componentes de malware.

En febrero de 2025, aparecieron paquetes de malware que combinaban CraxsRAT y NFCGate, lo que les permitía a los atacantes instalar y configurar la retransmisión con una interacción mínima por parte de la víctima. En la primavera de 2025 apareció un nuevo engaño, una versión denominada “inversa” de NFCGate, que cambió radicalmente la ejecución del ataque.

Cabe destacar especialmente el troyano RatOn, detectado por primera vez en la República Checa. Combina el control remoto mediante teléfono inteligente con capacidades de retransmisión NFC, lo que les permite a los atacantes dirigirse a las aplicaciones bancarias y tarjetas de las víctimas mediante diversas combinaciones de técnicas. Funciones como la captura de pantalla, la manipulación de datos del portapapeles, el envío de SMS y el robo de información de carteras de criptomonedas y aplicaciones bancarias les proporcionan a los delincuentes un amplio arsenal.

Los ciberdelincuentes también han incorporado la tecnología de retransmisión NFC en ofertas de malware como servicio (MaaS) y las revenden a otros actores maliciosos mediante suscripción. A principios de 2025, analistas descubrieron una nueva y sofisticada campaña de malware para Android en Italia, denominada SuperCard X. Se registraron intentos de difusión de SuperCard X en Rusia en mayo de 2025 y en Brasil en agosto del mismo año.

El ataque directo con NFCGate

El ataque directo es el mecanismo criminal original que aprovecha NFCGate. En este escenario, el teléfono inteligente de la víctima desempeña la función de lector, mientras que el teléfono del atacante actúa como emulador de tarjeta.

Primero, los estafadores engañan al usuario para que instale una aplicación maliciosa disfrazada de servicio bancario, actualización del sistema, aplicación de “seguridad de la cuenta” o incluso una aplicación popular como TikTok. Una vez instalada, la aplicación obtiene acceso tanto a NFC como a Internet, a menudo, sin solicitar permisos peligrosos o acceso de root. Algunas versiones también solicitan acceso a las funciones de accesibilidad de Android.

Luego, con el pretexto de verificar su identidad, se le pide a la víctima que acerque su tarjeta bancaria al teléfono. Cuando lo hace, el malware lee los datos de la tarjeta a través de NFC y los envía inmediatamente al servidor de los delincuentes. Desde allí, la información se transmite a un segundo teléfono inteligente en manos de una “mula”, que ayuda a extraer el dinero. Luego, este teléfono emula la tarjeta de la víctima para realizar pagos en un terminal o retirar efectivo de un cajero automático.

La aplicación falsa instalada en el teléfono inteligente de la víctima también solicita el PIN de la tarjeta, igual que en un terminal de pago o un cajero automático, y lo envía a los atacantes.

En las primeras versiones del ataque, los delincuentes simplemente se paraban en un cajero automático con un teléfono para usar la tarjeta del usuario engañado en tiempo real. Más tarde, el malware se perfeccionó para que los datos robados pudieran utilizarse para realizar compras en tiendas físicas de forma diferida y sin conexión, en lugar de en tiempo real.

Para la víctima, el robo es difícil de detectar: la tarjeta nunca salió de su poder, no tuvo que introducir manualmente ni recitar sus datos, y las alertas del banco sobre las retiradas de dinero pueden retrasarse o incluso ser interceptadas por la propia aplicación maliciosa.

Entre las señales de alerta que deberían hacerte sospechar de un ataque NFC directo se encuentran las siguientes:

Invitaciones a instalar aplicaciones que no provienen de tiendas oficiales.
Solicitudes para acercar tu tarjeta bancaria a tu teléfono.

El ataque NFCGate inverso

El ataque inverso es un mecanismo más nuevo y sofisticado. El teléfono inteligente de la víctima ya no lee su tarjeta, sino que emula la tarjeta del atacante. Para la víctima, todo parece completamente seguro: no es necesario recitar los detalles de la tarjeta, compartir códigos o acercar el teléfono a una tarjeta.

Al igual que con el mecanismo directo, todo comienza con la ingeniería social. El usuario recibe una llamada o un mensaje en el que se lo convence para que instale una aplicación para “pagos sin contacto”, “seguridad de tarjetas” o incluso “uso de moneda digital del banco central”. Una vez instalada, la nueva aplicación solicita que se establezca como método de pago sin contacto predeterminado, y este paso es de suma importancia. Gracias a esto, el malware no requiere acceso root, solo el consentimiento del usuario.

Luego, la aplicación maliciosa se conecta silenciosamente al servidor de los atacantes en segundo plano y los datos NFC de una tarjeta que le pertenece a uno de los delincuentes se transmiten al dispositivo de la víctima. Este paso es completamente invisible para la víctima.

A continuación, se dirige a la víctima a un cajero automático. Con el pretexto de “transferir dinero a una cuenta segura” o “enviarse dinero a sí mismo”, se les indica que acerquen el teléfono al lector NFC del cajero automático. En este momento, el cajero automático interactúa con la tarjeta del atacante. El PIN se le da a la víctima de antemano y se le presenta como “nuevo” o “temporal”.

Esto hace que todo el dinero que la víctima deposita o transfiere termine en la cuenta de los delincuentes.

Las características distintivas de este ataque son las siguientes:

Solicitudes para cambiar tu método de pago NFC predeterminado.
Un PIN “nuevo”.
Cualquier situación en la que te digan que vayas a un cajero automático y realices acciones allí siguiendo instrucciones de otra persona.

Cómo protegerte de este ataque

Los ataques de retransmisión NFC se basan más en la confianza de los usuarios que en las vulnerabilidades técnicas. Para defenderse de ellos, basta con tomar algunas precauciones sencillas.

Asegúrate de mantener tu método de pago sin contacto de confianza (como Google Pay o Samsung Pay) como predeterminado.
Nunca acerques tu tarjeta bancaria a tu teléfono a petición de otra persona o porque una aplicación te lo indique. Las aplicaciones legítimas pueden utilizar la cámara para escanear un número de tarjeta, pero nunca te pedirán que utilices el lector NFC para tu propia tarjeta.
Nunca sigas instrucciones de desconocidos en un cajero automático, sin importar quiénes digan ser.
Evita instalar aplicaciones de fuentes no oficiales. Esto incluye enlaces enviados a través de aplicaciones de mensajería, redes sociales, SMS o recomendados durante una llamada telefónica, incluso si provienen de alguien que dice ser del servicio de atención al cliente o de la policía.
Utiliza una seguridad integral en tus teléfonos inteligentes Android para bloquear llamadas fraudulentas, evitar visitas a sitios de phishing y detener la instalación de malware.
Utiliza únicamente tiendas de aplicaciones oficiales. Cuando descargues una aplicación de una tienda, comprueba las reseñas, la cantidad de descargas, la fecha de publicación y la calificación de la aplicación.
Cuando utilices un cajero automático, usa tu tarjeta física en lugar de tu teléfono inteligente para realizar la transacción.
Acostúmbrate a comprobar periódicamente la configuración de “Método de pago predeterminado” en el menú NFC de tu teléfono. Si ves alguna aplicación sospechosa en la lista, elimínala inmediatamente y ejecuta un análisis de seguridad completo en tu dispositivo.
Revisa la lista de aplicaciones con permisos de accesibilidad, ya que se trata de una función que suele ser objeto de abuso por parte del malware. Revoca estos permisos para cualquier aplicación sospechosa o desinstala las aplicaciones por completo.
Guarda los números oficiales de atención al cliente de tus bancos en los contactos de tu teléfono. Ante el más mínimo indicio de irregularidad, llama directamente y sin demora a la línea de atención al cliente de tu banco.
Si sospechas que los datos de tu tarjeta han sido vulnerados, bloquea la tarjeta inmediatamente.

La IA y la nueva realidad de la sextorsión

La IA generativa ha llevado las técnicas de sextorsión a un nivel completamente nuevo. Ahora, cualquier usuario de las redes sociales puede convertirse en una víctima. ¿Cómo puedes protegerte a ti mismo y a tus seres queridos?

Privacidad y niños

Ataques de skimming con NFC

¿Qué es la retransmisión NFC y NFCGate?

Un historial de uso indebido

El ataque directo con NFCGate

El ataque NFCGate inverso

Cómo protegerte de este ataque

¿Qué sucede con los datos que se roban mediante phishing?

Infostealer se ha unido al chat

La IA y la nueva realidad de la sextorsión

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia