Una nueva modalidad de fraude conocida como “toque fantasma” está causando preocupación en el sector financiero y entre usuarios de pagos digitales. De acuerdo con un informe publicado por Kaspersky el 7 de octubre de 2025, los ciberdelincuentes utilizan dispositivos o aplicaciones capaces de interceptar los tokens de autenticación NFC que se generan durante los pagos sin contacto, permitiendo realizar compras de forma fraudulenta.
La compañía explicó que este tipo de ataque se ejecuta retransmitiendo el token legítimo hacia otro dispositivo en tiempo real, simulando una transacción legítima. Como el proceso ocurre en cuestión de segundos, las víctimas no suelen notar ninguna irregularidad hasta que revisan sus movimientos bancarios.
El análisis de Kaspersky identifica dos variantes del fraude: una presencial y otra remota. En la modalidad presencial, los atacantes emplean dos dispositivos cercanos a la víctima. Uno de ellos capta la señal de la tarjeta o teléfono mediante un lector NFC, mientras el otro la replica frente a un terminal de pago para completar la transacción. Este tipo de ataque suele darse en espacios públicos como estaciones de transporte, cafeterías o centros comerciales, donde el contacto cercano pasa inadvertido.
En la modalidad remota, los delincuentes engañan a las víctimas haciéndose pasar por empleados bancarios o representantes de instituciones financieras. Les piden instalar una aplicación aparentemente legítima para “verificar” o “activar” su tarjeta, pero que en realidad roba el token NFC y lo reenvía al atacante, quien lo usa para realizar compras pequeñas desde otra ubicación.
De acuerdo con The Hacker News, un nuevo malware para Android denominado PhantomCard está siendo utilizado para facilitar este tipo de ataques. Este programa malicioso intercepta y retransmite los datos NFC directamente desde el teléfono comprometido, ampliando el alcance del “toque fantasma” y eliminando la necesidad de contacto físico entre el atacante y la víctima.
Presencia en América Latina
El informe de Kaspersky indica que ya se han registrado incidentes en América Latina, incluyendo México, donde el uso de pagos sin contacto ha crecido considerablemente. El fraude se basa en el principio del “relay NFC”, técnica utilizada anteriormente en Asia y Europa por grupos criminales que venden dispositivos capaces de replicar señales NFC capturadas.
La firma Recorded Future también ha documentado redes criminales que ofrecen servicios de retransmisión NFC y comercializan el equipo necesario para ejecutar estos ataques. En muchos casos, los grupos emplean “mulas” para efectuar las compras físicas, mientras los operadores técnicos capturan y envían las señales desde otra ubicación.
Aunque los tokens NFC son únicos y caducan en segundos, los delincuentes aprovechan esa breve ventana para ejecutar la transacción en tiempo real, antes de que la señal expire. Esta característica dificulta que las instituciones financieras detecten la actividad fraudulenta en el momento en que ocurre.
El “toque fantasma” afecta principalmente a usuarios que mantienen activo el NFC de sus teléfonos o tarjetas en todo momento y que realizan pagos sin supervisar la operación. Debido a que las transacciones suelen ser de bajo monto, no requieren PIN ni autenticación adicional, lo que facilita su aprobación y reduce las alertas de seguridad.
Kaspersky señala que las víctimas suelen descubrir el fraude al revisar sus estados de cuenta, donde aparecen cargos pequeños o recurrentes que no reconocen. La empresa advierte que la velocidad de las transacciones NFC —procesadas en milisegundos— facilita que los atacantes intercepten el token y lo reutilicen casi instantáneamente.
Medidas de prevención
La compañía de ciberseguridad recomienda seguir una serie de medidas para evitar ser víctima del “toque fantasma”:
- Desactivar la función NFC cuando no se esté utilizando, para impedir que otros dispositivos cercanos capten la señal.
- Usar carteras o fundas con bloqueo RFID/NFC, que impidan la lectura de tarjetas o teléfonos por lectores externos.
- Evitar instalar aplicaciones fuera de las tiendas oficiales, ya que las apps no verificadas pueden incluir código malicioso que intercepte datos de pago.
- Revisar periódicamente los movimientos bancarios, prestando atención a cargos pequeños o desconocidos.
- Verificar el comercio y el monto antes de autorizar cualquier pago sin contacto, ya que algunos ataques se aprovechan de la distracción del usuario.
- Reportar inmediatamente al banco o emisor de la tarjeta cualquier actividad sospechosa para bloquear la cuenta o el servicio NFC.
