NFC Ghost Tap: El fraude de pago sin contacto que creció 35 veces en 2025
Los ataques Ghost Tap retransmiten datos NFC robados para realizar pagos fraudulentos sin contacto en todo el mundo. Aprende cómo funciona, quién está en riesgo y cómo proteger tus tarjetas.
NFC Ghost Tap: El fraude de pago sin contacto que creció 35 veces en 2025
Acercas la tarjeta, recoges tu café, te vas. Los pagos sin contacto son rápidos y cómodos, pero ahora son un blanco favorito de los ciberdelincuentes. Una técnica llamada Ghost Tap ha experimentado un aumento de 35 veces desde principios de 2025, convirtiendo datos de tarjetas robados en compras imposibles de rastrear por todo el mundo.
¿Qué es un ataque Ghost Tap?
Ghost Tap es un ataque de retransmisión NFC. En lugar de clonar físicamente tu tarjeta, los atacantes capturan los datos NFC de tu tarjeta y los retransmiten en tiempo real a un dispositivo remoto que realiza compras en tu nombre.
- Robo de datos — Mediante phishing, malware superpuesto en apps bancarias o ingeniería social, obtienen tu número de tarjeta y código OTP
- Vinculación a billetera móvil — Cargan los datos robados en Apple Pay o Google Wallet en un teléfono controlado por el atacante
- Retransmisión NFC — Software como NFCGate retransmite la señal NFC a una red de "mulas"
- Compra — Las mulas entran en tiendas de todo el mundo y realizan pagos sin contacto por debajo del límite
Todo el proceso ocurre en segundos. Tu tarjeta nunca sale de tu bolsillo, pero alguien en otro país está comprando con ella.
Por qué Ghost Tap es difícil de detectar
| Método de detección | Por qué Ghost Tap lo evade |
|---|---|
| Verificación de ubicación | Las compras ocurren en terminales POS reales |
| Límites de monto | Cada transacción queda por debajo del límite contactless |
| Verificación de tarjeta presente | La señal NFC es idéntica a un toque legítimo |
| Control de velocidad | Las mulas distribuyen compras entre diferentes comercios |
| Huella digital del dispositivo | Cada mula usa un teléfono diferente |
El aumento de 35 veces: ¿qué cambió?
Herramientas NFC de código abierto
NFCGate, desarrollada como herramienta académica, se difundió ampliamente. Sus capacidades de retransmisión NFC ahora están documentadas en tutoriales de fraude en Telegram y la dark web.
Adopción masiva de pagos móviles
Con más bancos habilitando pagos sin contacto a través de Apple Pay y Google Wallet, la superficie de ataque creció enormemente. Vincular una tarjeta robada a una billetera móvil es trivialmente fácil con el número de tarjeta y un código de verificación.
Redes organizadas de mulas
Las redes criminales reclutan mulas a través de redes sociales y WhatsApp, ofreciendo un porcentaje de cada compra fraudulenta. Una sola tarjeta robada puede generar docenas de compras simultáneas en múltiples países.
¿Quién está en mayor riesgo?
- Cualquier persona con tarjetas contactless — La mayoría de tarjetas emitidas desde 2020
- Usuarios de billeteras móviles — Especialmente quienes no han habilitado autenticación biométrica
- Personas que responden a phishing — El punto de entrada suele ser un SMS falso
- Viajeros — Ubicaciones desconocidas dificultan notar cargos fraudulentos
Cómo protegerte
Medidas inmediatas
- Activa notificaciones de transacciones — Alertas en tiempo real para cada movimiento
- Establece límites contactless bajos — Muchos bancos permiten configurar límites personalizados
- Usa verificación biométrica — Habilita Face ID o huella para cada pago móvil
- Nunca compartas OTPs — Ningún banco te pedirá tu contraseña de un solo uso por teléfono
- Revisa extractos semanalmente — Los cargos fraudulentos pequeños (5-15€) están diseñados para pasar desapercibidos
Protege tu información sensible online
Ghost Tap comienza con datos robados. Cada pieza de información sensible que compartes online es un punto de entrada potencial. Cuando compartas contraseñas o datos financieros, usa canales cifrados en lugar de texto plano por WhatsApp.
LOCK.PUB te permite compartir información sensible mediante enlaces protegidos con contraseña y autoexpirables. En lugar de enviar datos de tarjetas por WhatsApp donde quedan en el historial indefinidamente, crea un enlace protegido que caduca tras ser consultado.
Si eres víctima
- Bloquea tu tarjeta inmediatamente desde la app bancaria
- Llama al departamento de fraude de tu banco
- Presenta denuncia policial — Necesaria para reclamaciones
- Verifica todas las billeteras vinculadas — Apple Pay, Google Pay, Samsung Pay
- Cambia la contraseña de tu app bancaria
Conclusión
Ghost Tap es un síntoma de la tensión fundamental entre comodidad y seguridad en los pagos. Activa las notificaciones, desconfía de cualquier solicitud de OTP y no compartas información sensible en texto plano. Herramientas como LOCK.PUB ayudan a que los datos sensibles no permanezcan en canales desprotegidos.
El toque debe ser cómodo, pero siempre debe ser el tuyo.
Palabras clave
También te puede interesar
Seguridad de impresoras: tu impresora almacena cada documento y puede ser hackeada
Las impresoras almacenan copias de todos los documentos en discos internos, pueden ser hackeadas remotamente e imprimen puntos de rastreo invisibles. Conoce los riesgos y cómo protegerte.
Riesgos de seguridad de las extensiones del navegador: cómo los complementos roban tus datos
Descubre cómo las extensiones maliciosas del navegador roban contraseñas, inyectan anuncios y rastrean tu navegación. Casos reales en Chrome Web Store, señales de alerta en permisos y cómo auditar tus extensiones.
Por qué nunca deberías enviar contraseñas por WhatsApp
Enviar contraseñas por WhatsApp, Telegram o Messenger es peligroso. Descubre los riesgos de seguridad de las apps de mensajería y alternativas seguras para compartir contraseñas.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis