{"id":31785,"date":"2026-01-28T12:26:21","date_gmt":"2026-01-28T10:26:21","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31785"},"modified":"2026-01-28T12:31:48","modified_gmt":"2026-01-28T10:31:48","slug":"nfc-gate-relay-attacks-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/nfc-gate-relay-attacks-2026\/31785\/","title":{"rendered":"Ataques de skimming con NFC"},"content":{"rendered":"

Gracias a la comodidad de los pagos mediante NFC y tel\u00e9fonos inteligentes, muchas personas ya no llevan carteras ni recuerdan los PIN de sus tarjetas bancarias. Todas sus tarjetas residen en una aplicaci\u00f3n de pago, y usarla es m\u00e1s r\u00e1pido que buscar a tientas una tarjeta f\u00edsica. Los pagos m\u00f3viles tambi\u00e9n son seguros: la tecnolog\u00eda se desarroll\u00f3 hace relativamente poco tiempo e incluye numerosas protecciones antifraude. Sin embargo, los delincuentes han inventado varias formas de dar mal uso a la NFC y robar tu dinero. Afortunadamente, proteger tus fondos es muy sencillo: solo tienes que conocer estos trucos y evitar situaciones de uso de NFC que impliquen riesgos.<\/p>\n

\u00bfQu\u00e9 es la retransmisi\u00f3n NFC y NFCGate?<\/h2>\n

La retransmisi\u00f3n NFC es una t\u00e9cnica mediante la cual los datos transmitidos de forma inal\u00e1mbrica entre una fuente (como una tarjeta bancaria) y un receptor (como un terminal de pago) son interceptados por un dispositivo intermedio y retransmitidos en tiempo real a otro. Imagina que tienes dos\u00a0tel\u00e9fonos inteligentes conectados a Internet, cada uno con una aplicaci\u00f3n de retransmisi\u00f3n instalada. Si acercas una tarjeta bancaria f\u00edsica al primer tel\u00e9fono inteligente y mantienes el segundo tel\u00e9fono inteligente cerca de un terminal o cajero autom\u00e1tico, la aplicaci\u00f3n de retransmisi\u00f3n del primer tel\u00e9fono inteligente leer\u00e1 la se\u00f1al de la tarjeta mediante NFC y la retransmitir\u00e1 en tiempo real al segundo tel\u00e9fono inteligente, que a su vez transmitir\u00e1 esta se\u00f1al al terminal. Desde la perspectiva del terminal, todo parece como si se hubiera pasado una tarjeta real, aunque la tarjeta en s\u00ed pueda estar f\u00edsicamente en otra ciudad o pa\u00eds.<\/p>\n

Esta tecnolog\u00eda no se cre\u00f3 originalmente para cometer delitos. La aplicaci\u00f3n NFCGate apareci\u00f3 en 2015 como una herramienta de investigaci\u00f3n despu\u00e9s de que fuera desarrollada por estudiantes de la Universidad T\u00e9cnica de Darmstadt en Alemania. Estaba destinada al an\u00e1lisis y la depuraci\u00f3n del tr\u00e1fico NFC, as\u00ed como a fines educativos y experimentos con tecnolog\u00eda sin contacto. NFCGate se distribuy\u00f3 como una soluci\u00f3n de c\u00f3digo abierto y se utiliz\u00f3 en c\u00edrculos acad\u00e9micos y de aficionados.<\/p>\n

Cinco\u00a0a\u00f1os despu\u00e9s, los ciberdelincuentes se dieron cuenta del potencial de la retransmisi\u00f3n NFC y comenzaron a modificar NFCGate a\u00f1adiendo modificaciones que le permit\u00edan ejecutarse a trav\u00e9s de un servidor malicioso, disfrazarse como software leg\u00edtimo y llevar a cabo escenarios de ingenier\u00eda social.<\/p>\n

Lo que comenz\u00f3 como un proyecto de investigaci\u00f3n se transform\u00f3 en la base de toda una clase de ataques destinados a drenar cuentas bancarias sin acceso f\u00edsico a tarjetas bancarias.<\/p>\n

Un historial de uso indebido<\/h2>\n

Los primeros ataques documentados con un NFCGate modificado se produjeron a finales de 2023 en Rep\u00fablica Checa. A principios de 2025, el problema se hab\u00eda vuelto a gran escala y evidente: los analistas de ciberseguridad descubrieron m\u00e1s de 80\u00a0muestras \u00fanicas de malware creadas en el marco de NFCGate. Los ataques evolucionaron r\u00e1pidamente, con capacidades de retransmisi\u00f3n NFC integradas en otros componentes de malware.<\/p>\n

En febrero de 2025, aparecieron paquetes de malware que combinaban CraxsRAT y NFCGate, lo que les permit\u00eda a los atacantes instalar y configurar la retransmisi\u00f3n con una interacci\u00f3n m\u00ednima por parte de la v\u00edctima. En la primavera de 2025 apareci\u00f3 un nuevo enga\u00f1o<\/a>, una versi\u00f3n denominada \u201cinversa\u201d de NFCGate, que cambi\u00f3 radicalmente la ejecuci\u00f3n del ataque.<\/p>\n

Cabe destacar especialmente el troyano RatOn<\/a>, detectado por primera vez en la Rep\u00fablica Checa. Combina el control remoto mediante tel\u00e9fono inteligente con capacidades de retransmisi\u00f3n NFC, lo que les permite a los atacantes dirigirse a las aplicaciones bancarias y tarjetas de las v\u00edctimas mediante diversas combinaciones de t\u00e9cnicas. Funciones como la captura de pantalla, la manipulaci\u00f3n de datos del portapapeles, el env\u00edo de SMS y el robo de informaci\u00f3n de carteras de criptomonedas y aplicaciones bancarias les proporcionan a los delincuentes un amplio arsenal.<\/p>\n

Los ciberdelincuentes tambi\u00e9n han incorporado la tecnolog\u00eda de retransmisi\u00f3n NFC en ofertas de malware como servicio (MaaS) y las revenden a otros actores maliciosos mediante suscripci\u00f3n. A principios de 2025, analistas descubrieron una nueva y sofisticada campa\u00f1a de malware para Android en Italia, denominada SuperCard X<\/a>. Se registraron intentos de difusi\u00f3n de SuperCard X en Rusia en mayo de 2025 y en Brasil en agosto del mismo a\u00f1o.<\/p>\n

El ataque directo con NFCGate<\/h2>\n

El ataque directo es el mecanismo criminal original que aprovecha NFCGate. En este escenario, el tel\u00e9fono inteligente de la v\u00edctima desempe\u00f1a la funci\u00f3n de lector, mientras que el tel\u00e9fono del atacante act\u00faa como emulador de tarjeta.<\/p>\n

Primero, los estafadores enga\u00f1an al usuario para que instale una aplicaci\u00f3n maliciosa disfrazada de servicio bancario, actualizaci\u00f3n del sistema, aplicaci\u00f3n de \u201cseguridad de la cuenta\u201d o incluso una aplicaci\u00f3n popular como TikTok. Una vez instalada, la aplicaci\u00f3n obtiene acceso tanto a NFC como a Internet, a menudo, sin solicitar permisos peligrosos<\/a> o acceso de root. Algunas versiones tambi\u00e9n solicitan acceso a las funciones de accesibilidad de Android<\/a>.<\/p>\n

Luego, con el pretexto de verificar su identidad, se le pide a la v\u00edctima que acerque su tarjeta bancaria al tel\u00e9fono. Cuando lo hace, el malware lee los datos de la tarjeta a trav\u00e9s de NFC y los env\u00eda inmediatamente al servidor de los delincuentes. Desde all\u00ed, la informaci\u00f3n se transmite a un segundo tel\u00e9fono inteligente en manos de una \u201cmula\u201d, que ayuda a extraer el dinero. Luego, este tel\u00e9fono emula la tarjeta de la v\u00edctima para realizar pagos en un terminal o retirar efectivo de un cajero autom\u00e1tico.<\/p>\n

La aplicaci\u00f3n falsa instalada en el tel\u00e9fono inteligente de la v\u00edctima tambi\u00e9n solicita el PIN de la tarjeta, igual que en un terminal de pago o un cajero autom\u00e1tico, y lo env\u00eda a los atacantes.<\/p>\n

En las primeras versiones del ataque, los delincuentes simplemente se paraban en un cajero autom\u00e1tico con un tel\u00e9fono para usar la tarjeta del usuario enga\u00f1ado en tiempo real. M\u00e1s tarde, el malware se perfeccion\u00f3 para que los datos robados pudieran utilizarse para realizar compras en tiendas f\u00edsicas de forma diferida y sin conexi\u00f3n, en lugar de en tiempo real.<\/p>\n

Para la v\u00edctima, el robo es dif\u00edcil de detectar: la tarjeta nunca sali\u00f3 de su poder, no tuvo que introducir manualmente ni recitar sus datos, y las alertas del banco sobre las retiradas de dinero pueden retrasarse o incluso ser interceptadas por la propia aplicaci\u00f3n maliciosa.<\/p>\n

Entre las se\u00f1ales de alerta que deber\u00edan hacerte sospechar de un ataque NFC directo se encuentran las siguientes:<\/p>\n