{"id":2050,"date":"2026-06-19T08:00:00","date_gmt":"2026-06-19T14:00:00","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=2050"},"modified":"2026-06-18T17:18:38","modified_gmt":"2026-06-18T23:18:38","slug":"robo-sin-contacto-malware-con-nfc","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/06\/robo-sin-contacto-malware-con-nfc\/","title":{"rendered":"Robo sin contacto: malware con NFC"},"content":{"rendered":"

<\/p>\n


\n<\/p>\n\n\n

Introducci\u00f3n<\/h2>\n\n\n\n

Tu cliente aprueba un pago sin contacto en la caja del supermercado. Todo parece normal: toca su celular, suena el pitido de confirmaci\u00f3n, y sigue con su d\u00eda. Lo que no sabe es que hace tres d\u00edas instal\u00f3 una app que parec\u00eda ser una actualizaci\u00f3n de seguridad de su banco. Desde ese momento, cada vez que acerca su tarjeta f\u00edsica al celular para “verificar su identidad”, los datos de la tarjeta viajan en tiempo real al dispositivo de un atacante que puede estar en otra ciudad \u2014o en otro pa\u00eds\u2014, listo para vaciar la cuenta en un cajero a kil\u00f3metros de distancia.<\/p>\n\n\n\n

Este no es un escenario hipot\u00e9tico. Es la mec\u00e1nica documentada del fraude bancario m\u00e1s sofisticado que existe hoy en el ecosistema Android: el ataque de relay NFC, potenciado por inteligencia artificial y distribuido bajo el modelo de negocio Malware-as-a-Service (MaaS). En 2026, esta amenaza dej\u00f3 de ser un fen\u00f3meno europeo o asi\u00e1tico para convertirse en una preocupaci\u00f3n directa para el sector financiero latinoamericano.<\/p>\n\n\n\n

Durante a\u00f1os, el fraude bancario m\u00f3vil depend\u00eda de robar contrase\u00f1as o interceptar c\u00f3digos de un solo uso. El nuevo modelo es m\u00e1s elegante y m\u00e1s peligroso: en lugar de robar tus credenciales para usarlas despu\u00e9s, los atacantes retransmiten en tiempo real la se\u00f1al de tu tarjeta<\/strong> hacia un dispositivo controlado por ellos, que la usa como si fuera la tarjeta original. La tecnolog\u00eda que dise\u00f1amos para hacer los pagos m\u00e1s c\u00f3modos se convirti\u00f3 en una autopista para el fraude.<\/p>\n\n\n\n

En este art\u00edculo desglosamos c\u00f3mo funciona esta nueva generaci\u00f3n de ataques, repasamos los casos reales m\u00e1s recientes, explicamos la mec\u00e1nica t\u00e9cnica detr\u00e1s del fen\u00f3meno y, sobre todo, te damos recomendaciones concretas para protegerte t\u00fa y tu organizaci\u00f3n.<\/p>\n\n\n\n

\"Ilustraci\u00f3n<\/figure>\n\n\n\n

\u00bfQu\u00e9 es el malware NFC y por qu\u00e9 deber\u00eda preocuparte?<\/h2>\n\n\n\n

NFC es el est\u00e1ndar de comunicaci\u00f3n de corto alcance que permite que dos dispositivos intercambien datos cuando est\u00e1n a pocos cent\u00edmetros de distancia. Es la base de los pagos sin contacto: acercas tu tarjeta o tel\u00e9fono a la terminal y la transacci\u00f3n se completa en segundos.<\/p>\n\n\n\n

El problema es que esa misma capacidad puede ser secuestrada. El malware NFC moderno abusa de una funci\u00f3n leg\u00edtima de Android llamada Host Card Emulation (HCE)<\/strong>, que permite que un tel\u00e9fono emule una tarjeta inteligente por software, sin necesidad del chip f\u00edsico de seguridad. Originalmente, HCE se cre\u00f3 para que tu celular pudiera comportarse como una tarjeta de pago. Los atacantes la usan para que un tel\u00e9fono se haga pasar por la tarjeta de la v\u00edctima.<\/p>\n\n\n\n

A diferencia de los troyanos bancarios tradicionales \u2014que se apoyan en pantallas superpuestas (overlays<\/em>) o en interceptar mensajes SMS\u2014, estas aplicaciones maliciosas explotan directamente las capacidades NFC y HCE del dispositivo para suplantar apps de pago leg\u00edtimas y retransmitir datos de transacci\u00f3n en tiempo real. Es una clase de amenaza que combina fraude financiero con abuso a nivel del sistema operativo, y que las defensas convencionales con frecuencia no detectan.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Casos reales: el relay NFC cruza fronteras<\/h2>\n\n\n\n

NGate y la variante HandyPay: fraude NFC con sello de IA<\/h3>\n\n\n\n

La familia de malware NGate<\/strong>, documentada originalmente por investigadores de ESET, tiene la capacidad de retransmitir los datos de las tarjetas de pago de las v\u00edctimas desde una app maliciosa instalada en su tel\u00e9fono Android hacia el dispositivo del atacante. La t\u00e9cnica se apoya en una herramienta llamada NFCGate<\/strong>, creada en su origen con fines de investigaci\u00f3n por estudiantes de la Universidad T\u00e9cnica de Darmstadt, en Alemania. [1]<\/a><\/sup><\/strong><\/p>\n\n\n\n

La evoluci\u00f3n m\u00e1s reciente es especialmente reveladora. A partir de noviembre de 2025, ESET detect\u00f3 una campa\u00f1a activa dirigida a usuarios de Android en Brasil que, en lugar de construir malware desde cero, simplemente modific\u00f3 HandyPay, una aplicaci\u00f3n leg\u00edtima de relay NFC, con fines maliciosos.<\/strong> (disponible en Google Play desde 2021). Los atacantes tomaron una versi\u00f3n limpia de la app, le inyectaron c\u00f3digo malicioso y la distribuyeron fuera de la tienda oficial. Adem\u00e1s de retransmitir los datos NFC, el c\u00f3digo tambi\u00e9n roba el PIN de la tarjeta, que se env\u00eda por separado a un servidor de comando y control. [2]<\/a>[3]<\/a><\/sup><\/strong><\/p>\n\n\n\n

La distribuci\u00f3n us\u00f3 ingenier\u00eda social sofisticada: un sitio web falso de una loter\u00eda brasile\u00f1a (“Rio de Pr\u00eamios”) con un raspadito ama\u00f1ado que siempre “premiaba” con 20.000 reales, empujando luego a la v\u00edctima por WhatsApp para reclamar el premio e instalar la APK maliciosa; y una p\u00e1gina falsa de Google Play que ofrec\u00eda una supuesta app de “protecci\u00f3n de tarjeta”. El detalle m\u00e1s inquietante: el c\u00f3digo inyectado muestra se\u00f1ales claras de haber sido generado con inteligencia artificial generativa<\/strong>, lo que evidencia c\u00f3mo actores de bajo nivel t\u00e9cnico ahora pueden producir este tipo de amenazas a escala. [2]<\/a><\/sup>[6]<\/a><\/sup><\/strong><\/p>\n\n\n\n

PhantomCard: el modelo de malware como servicio<\/h3>\n\n\n\n

Otra familia relevante es PhantomCard<\/strong>, identificada por investigadores de ThreatFabric. Este troyano para Android retransmite los datos NFC de la tarjeta bancaria de la v\u00edctima hacia el dispositivo del defraudador para facilitar transacciones fraudulentas. Lo significativo es su origen: PhantomCard se basa en un servicio de malware como servicio (malware-as-a-service<\/em>) de procedencia china especializado en relay NFC, lo que confirma la existencia de un ecosistema comercial detr\u00e1s de estos ataques, no solo de actores aislados. [4]<\/a><\/sup><\/strong><\/p>\n\n\n\n

La IA acelera el fraude NFC<\/h3>\n\n\n\n

Quiz\u00e1 la tendencia m\u00e1s importante de 2026 sea el cambio en qui\u00e9n puede ejecutar estos ataques. A lo largo de 2025, m\u00faltiples proveedores de seguridad reportaron un fuerte aumento de campa\u00f1as de relay NFC contra clientes bancarios europeos, casi todas trazables a desarrolladores de habla china que controlaban la capa de herramientas y las vend\u00edan a operadores con poco perfil t\u00e9cnico, promocionadas a trav\u00e9s de un mismo ecosistema en Telegram. <\/p>\n\n\n\n

Nuevas variantes muestran caracter\u00edsticas de desarrollo asistido por IA, y la propia investigaci\u00f3n de ESET sobre la variante de NGate en Brasil confirma esos mismos indicadores en el c\u00f3digo inyectado. La barrera de entrada que antes manten\u00eda esta amenaza concentrada en pocos grupos t\u00e9cnicos se desplom\u00f3. [2]<\/a><\/sup><\/strong><\/p>\n\n\n\n

El caso M\u00e9xico: “toque fantasma” y “carterismo digital”<\/h3>\n\n\n\n

M\u00e9xico no es ajeno a esta tendencia. Aqu\u00ed el fraude se populariz\u00f3 con el nombre de “toque fantasma”<\/strong> (tambi\u00e9n llamado “carterismo digital”), y las autoridades financieras ya emitieron alertas formales. <\/p>\n\n\n\n

El patr\u00f3n regional es claro: seg\u00fan datos atribuidos a Kaspersky, Brasil concentra cerca del 47% de los intentos detectados globalmente de este tipo de fraude, mientras que pa\u00edses como M\u00e9xico, Colombia y Chile comenzaron a registrar sus primeros casos. La amenaza, que parti\u00f3 de Europa del Este, hoy avanza con fuerza sobre Am\u00e9rica Latina. [10]<\/a><\/sup>[8]<\/a><\/sup><\/strong><\/p>\n\n\n\n

En el plano local, la Condusef ha alertado sobre el aumento del “carterismo digital”, advirtiendo que el riesgo se concentra en aglomeraciones \u2014transporte p\u00fablico, centros comerciales y festejos deportivos\u2014, donde un atacante puede aproximarse sin levantar sospechas. La autoridad aclara que no existe una estad\u00edstica que a\u00edsle exclusivamente al fraude NFC, pues se contabiliza dentro de las reclamaciones generales por cargos no reconocidos. [11]<\/a><\/sup><\/strong><\/p>\n\n\n\n

El modus operandi en M\u00e9xico sigue la l\u00f3gica de “muchos cargos peque\u00f1os”: los criminales prefieren extraer montos bajos en numerosos movimientos \u2014que con frecuencia no requieren autenticaci\u00f3n adicional\u2014 en lugar de una sola cantidad alta que dispare las alarmas del banco. [12]<\/a><\/sup><\/strong><\/p>\n\n\n\n

\u00bfC\u00f3mo funciona el ataque NFC a tu tarjeta?<\/h2>\n\n\n\n
\"Infograf\u00eda<\/figure>
\n

La idea central es f\u00e1cil de entender: el atacante no roba tu tarjeta, roba su se\u00f1al y la usa al instante en otro lugar.<\/strong> A esta t\u00e9cnica se le conoce como Ghost Tap<\/strong>, y funciona como un “puente” entre tu tarjeta y un cajero o terminal lejano.<\/p>\n<\/div><\/div>\n\n\n\n

<\/p>\n\n\n\n

El truco usa dos puntas conectadas por internet:<\/p>\n\n\n\n