Un estudio reciente de la firma de ciberseguridad Kaspersky pone en evidencia una estafa sofisticada que explota lo que hasta ahora era sinónimo de rapidez y comodidad: los pagos por proximidad. Conocida como “Toque Fantasma”, esta técnica permite a delincuentes apropiarse de transacciones en cuestión de segundos, usando el mismo mecanismo que hace posible acercar una tarjeta o un móvil a un datáfono para pagar.
Lo llamativo del método no es solo su ingenio técnico, sino la velocidad con la que opera: el código único que autoriza una compra —el llamado token— puede ser capturado y reenviado en tiempo real, permitiendo que otra persona finalice la operación desde otro dispositivo. El resultado es siempre el mismo: cobros legítimos en los sistemas bancarios, pérdidas reales para los usuarios y, en muchos casos, la completa ausencia de señales que alerten a la víctima.
Kaspersky detectó que Brasil concentra casi la mitad de los intentos globales (aprox. 47 %), seguido por India, China y España. El dato coloca a América Latina en una situación sensible: en la región el pago sin contacto se ha convertido en la norma cotidiana, lo que amplifica la superficie de ataque para los estafadores.
Los expertos subrayan que el problema no está tanto en la tecnología NFC en sí, sino en cómo los atacantes aprovechan sus reglas operativas: actúan dentro del protocolo válido y, por eso, muchas defensas automáticas no los distinguen de una transacción legítima. Kaspersky describe dos variantes principales del “Toque Fantasma”, ambas eficaces y rápidas:
Presencial: en lugares con mucha gente (colas, conciertos, cafés), una pareja de estafadores emplea dos teléfonos sincronizados. Uno captura el token acercándose a la víctima —incluso si la tarjeta está en un bolso o el móvil sobre la mesa— y lo transmite al segundo teléfono, que a su vez completa el pago en un datáfono cercano. La víctima, generalmente, no percibe nada extraño.
Remota: aquí entra la ingeniería social. El atacante se hace pasar por personal del banco y convence a la víctima de instalar una app “de verificación”. Al seguir las instrucciones y acercar la tarjeta al teléfono, el token es interceptado por la app maliciosa y enviado al delincuente, que ejecuta la compra a distancia. Esta modalidad aprovecha especialmente la posibilidad en Android de instalar aplicaciones fuera de las tiendas oficiales.
Kaspersky encontró además canales en Telegram donde se venden y difunden herramientas y tutoriales para ejecutar este fraude, lo que facilita su expansión internacional. Aunque no exista una inmunidad total, sí hay contramedidas sencillas y eficaces que recomiendan los especialistas: guardar tarjetas en fundas o billeteras con bloqueo NFC; son económicas y evitan lecturas no autorizadas; revisar extractos y notificaciones con frecuencia: detectar un cargo extraño a tiempo facilita la reclamación; instalar aplicaciones solo desde tiendas oficiales y revisar el nombre del desarrollador y comentarios antes de descargar; y mantener un antimalware actualizado en el móvil: muchas soluciones detectan apps que intentan leer o reenviar tokens NFC.
