Hacking ONESEC

¡Contáctanos!

Robo sin contacto: malware con NFC

Oscar Tellez

·

·

, , ,


Introducción

Tu cliente aprueba un pago sin contacto en la caja del supermercado. Todo parece normal: toca su celular, suena el pitido de confirmación, y sigue con su día. Lo que no sabe es que hace tres días instaló una app que parecía ser una actualización de seguridad de su banco. Desde ese momento, cada vez que acerca su tarjeta física al celular para “verificar su identidad”, los datos de la tarjeta viajan en tiempo real al dispositivo de un atacante que puede estar en otra ciudad —o en otro país—, listo para vaciar la cuenta en un cajero a kilómetros de distancia.

Este no es un escenario hipotético. Es la mecánica documentada del fraude bancario más sofisticado que existe hoy en el ecosistema Android: el ataque de relay NFC, potenciado por inteligencia artificial y distribuido bajo el modelo de negocio Malware-as-a-Service (MaaS). En 2026, esta amenaza dejó de ser un fenómeno europeo o asiático para convertirse en una preocupación directa para el sector financiero latinoamericano.

Durante años, el fraude bancario móvil dependía de robar contraseñas o interceptar códigos de un solo uso. El nuevo modelo es más elegante y más peligroso: en lugar de robar tus credenciales para usarlas después, los atacantes retransmiten en tiempo real la señal de tu tarjeta hacia un dispositivo controlado por ellos, que la usa como si fuera la tarjeta original. La tecnología que diseñamos para hacer los pagos más cómodos se convirtió en una autopista para el fraude.

En este artículo desglosamos cómo funciona esta nueva generación de ataques, repasamos los casos reales más recientes, explicamos la mecánica técnica detrás del fenómeno y, sobre todo, te damos recomendaciones concretas para protegerte tú y tu organización.

Ilustración conceptual de ciberseguridad que muestra un teléfono móvil realizando un pago NFC con una tarjeta física y el ícono contactless visible. El flujo de datos verdes se fragmenta en el aire mientras un dispositivo en la sombra intercepta la transmisión, representando una vulnerabilidad de relay NFC.

¿Qué es el malware NFC y por qué debería preocuparte?

NFC es el estándar de comunicación de corto alcance que permite que dos dispositivos intercambien datos cuando están a pocos centímetros de distancia. Es la base de los pagos sin contacto: acercas tu tarjeta o teléfono a la terminal y la transacción se completa en segundos.

El problema es que esa misma capacidad puede ser secuestrada. El malware NFC moderno abusa de una función legítima de Android llamada Host Card Emulation (HCE), que permite que un teléfono emule una tarjeta inteligente por software, sin necesidad del chip físico de seguridad. Originalmente, HCE se creó para que tu celular pudiera comportarse como una tarjeta de pago. Los atacantes la usan para que un teléfono se haga pasar por la tarjeta de la víctima.

A diferencia de los troyanos bancarios tradicionales —que se apoyan en pantallas superpuestas (overlays) o en interceptar mensajes SMS—, estas aplicaciones maliciosas explotan directamente las capacidades NFC y HCE del dispositivo para suplantar apps de pago legítimas y retransmitir datos de transacción en tiempo real. Es una clase de amenaza que combina fraude financiero con abuso a nivel del sistema operativo, y que las defensas convencionales con frecuencia no detectan.

Casos reales: el relay NFC cruza fronteras

NGate y la variante HandyPay: fraude NFC con sello de IA

La familia de malware NGate, documentada originalmente por investigadores de ESET, tiene la capacidad de retransmitir los datos de las tarjetas de pago de las víctimas desde una app maliciosa instalada en su teléfono Android hacia el dispositivo del atacante. La técnica se apoya en una herramienta llamada NFCGate, creada en su origen con fines de investigación por estudiantes de la Universidad Técnica de Darmstadt, en Alemania. [1]

La evolución más reciente es especialmente reveladora. A partir de noviembre de 2025, ESET detectó una campaña activa dirigida a usuarios de Android en Brasil que, en lugar de construir malware desde cero, simplemente modificó HandyPay, una aplicación legítima de relay NFC, con fines maliciosos. (disponible en Google Play desde 2021). Los atacantes tomaron una versión limpia de la app, le inyectaron código malicioso y la distribuyeron fuera de la tienda oficial. Además de retransmitir los datos NFC, el código también roba el PIN de la tarjeta, que se envía por separado a un servidor de comando y control. [2][3]

La distribución usó ingeniería social sofisticada: un sitio web falso de una lotería brasileña (“Rio de Prêmios”) con un raspadito amañado que siempre “premiaba” con 20.000 reales, empujando luego a la víctima por WhatsApp para reclamar el premio e instalar la APK maliciosa; y una página falsa de Google Play que ofrecía una supuesta app de “protección de tarjeta”. El detalle más inquietante: el código inyectado muestra señales claras de haber sido generado con inteligencia artificial generativa, lo que evidencia cómo actores de bajo nivel técnico ahora pueden producir este tipo de amenazas a escala. [2][6]

PhantomCard: el modelo de malware como servicio

Otra familia relevante es PhantomCard, identificada por investigadores de ThreatFabric. Este troyano para Android retransmite los datos NFC de la tarjeta bancaria de la víctima hacia el dispositivo del defraudador para facilitar transacciones fraudulentas. Lo significativo es su origen: PhantomCard se basa en un servicio de malware como servicio (malware-as-a-service) de procedencia china especializado en relay NFC, lo que confirma la existencia de un ecosistema comercial detrás de estos ataques, no solo de actores aislados. [4]

La IA acelera el fraude NFC

Quizá la tendencia más importante de 2026 sea el cambio en quién puede ejecutar estos ataques. A lo largo de 2025, múltiples proveedores de seguridad reportaron un fuerte aumento de campañas de relay NFC contra clientes bancarios europeos, casi todas trazables a desarrolladores de habla china que controlaban la capa de herramientas y las vendían a operadores con poco perfil técnico, promocionadas a través de un mismo ecosistema en Telegram.

Nuevas variantes muestran características de desarrollo asistido por IA, y la propia investigación de ESET sobre la variante de NGate en Brasil confirma esos mismos indicadores en el código inyectado. La barrera de entrada que antes mantenía esta amenaza concentrada en pocos grupos técnicos se desplomó. [2]

El caso México: “toque fantasma” y “carterismo digital”

México no es ajeno a esta tendencia. Aquí el fraude se popularizó con el nombre de “toque fantasma” (también llamado “carterismo digital”), y las autoridades financieras ya emitieron alertas formales.

El patrón regional es claro: según datos atribuidos a Kaspersky, Brasil concentra cerca del 47% de los intentos detectados globalmente de este tipo de fraude, mientras que países como México, Colombia y Chile comenzaron a registrar sus primeros casos. La amenaza, que partió de Europa del Este, hoy avanza con fuerza sobre América Latina. [10][8]

En el plano local, la Condusef ha alertado sobre el aumento del “carterismo digital”, advirtiendo que el riesgo se concentra en aglomeraciones —transporte público, centros comerciales y festejos deportivos—, donde un atacante puede aproximarse sin levantar sospechas. La autoridad aclara que no existe una estadística que aísle exclusivamente al fraude NFC, pues se contabiliza dentro de las reclamaciones generales por cargos no reconocidos. [11]

El modus operandi en México sigue la lógica de “muchos cargos pequeños”: los criminales prefieren extraer montos bajos en numerosos movimientos —que con frecuencia no requieren autenticación adicional— en lugar de una sola cantidad alta que dispare las alarmas del banco. [12]

¿Cómo funciona el ataque NFC a tu tarjeta?

Infografía dividida en dos partes que muestra el mecanismo del ataque NFC Relay: a la izquierda, un smartphone víctima realiza un pago contactless con una tarjeta; al centro, un servidor en la nube retransmite los datos; y a la derecha, el teléfono del atacante replica la transacción en un cajero automático. Diseño técnico con textura de circuito y flujo de datos rojos.

La idea central es fácil de entender: el atacante no roba tu tarjeta, roba su señal y la usa al instante en otro lugar. A esta técnica se le conoce como Ghost Tap, y funciona como un “puente” entre tu tarjeta y un cajero o terminal lejano.

El truco usa dos puntas conectadas por internet:

  • El teléfono infectado de la víctima lee la tarjeta cuando esta la acerca “para validar”.
  • El teléfono del atacante recibe esa señal y la emula —usando Host Card Emulation (HCE)— frente a un cajero o terminal, que la acepta como si fuera la tarjeta real.

El resultado: el atacante puede estar en otro país, sacar dinero o comprar, y usar la misma tarjeta en varios puntos a la vez con ayuda de “mulas”. Anonimato y escala, en cuestión de minutos. [5]

En el caso de NGate, el objetivo principal ha sido el retiro de efectivo en cajeros: el malware clona la señal NFC de la tarjeta y la retransmite al dispositivo del atacante para emularla. Y si eso falla, los operadores tienen un plan B para transferir los fondos a otras cuentas. [1]

La problemática: por qué este fraude es tan difícil de frenar

Más allá de los detalles técnicos, el malware NFC representa un punto de inflexión por la forma en que combina varios factores que se refuerzan entre sí:

Explota la confianza y el hábito. El usuario promedio no asocia “acercar mi tarjeta al teléfono” con un riesgo. El ataque se camufla dentro de un gesto que hacemos todos los días sin pensar, y la víctima no nota nada hasta revisar sus movimientos.

Privilegia el bajo perfil sobre el golpe único. Al extraer montos pequeños en múltiples operaciones, el fraude evita los umbrales que disparan las alertas antifraude tradicionales, prolongando el tiempo que pasa desapercibido.

Se apoya en un ecosistema criminal robusto. Existen canales de distribución, foros, bots de Telegram y modelos de afiliados que profesionalizan la operación de punta a punta, lo que permite que cada nueva campaña se monte sobre infraestructura ya probada.

Recomendaciones

Para usuarios

  • No instales aplicaciones fuera de Google Play. La gran mayoría de estas APK maliciosas nunca aparecen en la tienda oficial; se distribuyen por sitios falsos y enlaces enviados por mensajería. Desconfía de cualquier app que te pidan “descargar de fuentes desconocidas”.
  • Sospecha de cualquier app que te pida acercar tu tarjeta o ingresar tu PIN. Ningún proceso legítimo de “validación” o “protección de tarjeta” requiere que pongas tu tarjeta física contra el teléfono.
  • Desconfía de premios, loterías y urgencias. El gancho de la rifa o el premio inesperado es la puerta de entrada favorita de estas campañas.
  • Mantén activo Google Play Protect, que ofrece protección automática contra versiones conocidas de este malware en dispositivos con servicios de Google Play.
  • Deshabilita el pago NFC cuando no lo uses. Si la función está apagada, el malware no puede capturar ni retransmitir datos.
  • Bloquea tu tarjeta desde la app del banco y actívala solo al pagar. Es una de las medidas más recomendadas: previene el cargo antes de que ocurra, en lugar de solo avisarte después. Las fundas o billeteras con bloqueo NFC también dificultan la lectura no autorizada.
  • Revisa periódicamente tus movimientos bancarios y activa alertas de transacción en tiempo real.

Para equipos de seguridad y organizaciones

  • Incorporar soluciones de defensa de amenazas móviles (MTD) capaces de detectar abuso de permisos y comportamiento malicioso desde el momento de la instalación, sin depender de consultas a la nube.
  • Incluir el análisis de malware NFC y abuso de HCE dentro de los ejercicios de pentest móvil y las pruebas de concientización.
  • Monitorear el panorama de amenazas regional, dado que las campañas constantemente intentan suplantar la identidad de distintas instituciones financieras.
Smartphone Android con símbolo NFC rodeado por un escudo azul y verde, acompañado de un sello digital de verificación pentest. Fondo con red neuronal y patrón biométrico que simbolizan la defensa validada contra ataques de malware NFC y fraude bancario impulsado por IA.

Conclusión

El malware NFC marca una nueva frontera en el cibercrimen financiero: ataques rápidos, anónimos y globales que convierten un gesto cotidiano —acercar la tarjeta al teléfono— en el primer paso de un fraude. La combinación de ingeniería social, abuso de funciones legítimas del sistema operativo y, ahora, código generado por inteligencia artificial, ha bajado la barrera de entrada y disparado la escala del problema.

La buena noticia es que la primera línea de defensa sigue siendo el conocimiento. Entender cómo funciona el ataque desactiva su principal arma: la confianza ciega. Para las organizaciones, la lección es clara: la seguridad ya no termina en el perímetro corporativo, sino en el bolsillo de cada usuario.

En OneSec ayudamos a las organizaciones a anticiparse a este tipo de amenazas mediante pruebas de penetración móvil, ejercicios de Red Team y programas de concientización. Always Secure, Never At Risk.

Referencias

  1. NGate Android malware relays NFC traffic to steal cash – ESET Research. Recuperado el 17 de Junio de 2026.
  2. New NGate variant hides in a trojanized NFC payment app – ESET Research. Recuperado el 17 de Junio de 2026.
  3. NGate NFC malware targets Android users through trojanized payment app – Help Net Security. Recuperado el 17 de Junio de 2026.
  4. New Android Malware Wave Hits Banking via NFC Relay Fraud – The Hacker News. Recuperado el 17 de Junio de 2026.
  5. Ghost Tap: Hackers Exploiting NFCGate to Steal Funds via Mobile Payments – The Hacker News. Recuperado el 17 de Junio de 2026.
  6. AI-Powered NGate Malware Evades Detection Inside NFC Payment Apps – GBHackers. Recuperado el 17 de Junio de 2026.
  7. NFC Fraud Wave: Evolution of Ghost Tap on the Dark Web – Resecurity. Recuperado el 17 de Junio de 2026.
  8. Trojanized Android App Fuels New Wave of NFC Fraud – Infosecurity Magazine. Recuperado el 17 de Junio de 2026.
  9. Estafa del “toque fantasma”: cómo los delincuentes roban pagos sin contacto – Proceso. Recuperado el 17 de Junio de 2026.
  10. “Toque fantasma”: la nueva técnica de robo digital que amenaza los pagos sin contacto – UNAD Noticias. Recuperado el 17 de Junio de 2026.
  11. Condusef alerta sobre carterismo digital con tecnología NFC – Diario de Morelos. Recuperado el 17 de Junio de 2026.
  12. Nuevas modalidades de fraude digital: cómo prevenir el toque fantasma – Milenio. Recuperado el 17 de Junio de 2026.

Oscar Tellez

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied