El "toque fantasma": qué tan reales son los riesgos de los pagos sin contacto en Perú

Cada vez que un usuario acerca su tarjeta o celular a un lector de pagos, una antena y un microchip intercambian datos en fracciones de segundo. Esa operación silenciosa y cotidiana —que en Perú ya representa el 90% del mercado de tarjetas, según proyecciones del sector— tiene un nombre que empieza a generar inquietud entre los usuarios: el “toque fantasma”, la posibilidad de que alguien capture esos datos sin que la víctima lo note.

La expansión del pago sin contacto en el país es sostenida. Las tarjetas inteligentes sin contacto dominan el mercado local de pagos con tarjeta, y la tecnología NFC (Near Field Communication) se extiende también hacia billeteras digitales como Yape, que suma 16 millones de usuarios urbanos, según datos de Mordor Intelligence. A nivel regional, el 88% de las personas con servicios financieros ya realiza pagos desde el móvil, de acuerdo con Americas Market Intelligence.

Pero el crecimiento del ecosistema digital también amplía la superficie de ataque para los ciberdelincuentes. En Perú, las denuncias por ciberdelincuencia aumentaron 134% en cinco años: de 19.101 casos en 2021 a 44.703 en 2025, con un promedio de 100 denuncias diarias ante la Fiscalía Especializada en Ciberdelincuencia, según datos recogidos por ESET.

Cómo funciona la tecnología y qué puede robarse realmente

El funcionamiento del pago NFC es, en esencia, electromagnético. La tarjeta no tiene batería: cuando el lector emite un campo electromagnético, este energiza el chip y activa el intercambio de datos. Jorge Zeballos, especialista en ciberseguridad de ESET Perú, explica que el estándar EMV —desarrollado por Europay, Mastercard y Visa— incorpora dos capas de protección: los datos viajan encriptados y se genera un código único por cada transacción, lo que impide que una señal interceptada pueda reutilizarse.

“Muy difícil que te vayan a robar dinero. Para empezar, el delincuente tendría que tener un POS válido, registrarse en un banco, y dudo que quiera generar esa trazabilidad”, señaló Zeballos a Infobae Perú.

Lo que sí puede capturarse con dispositivos de lectura a corta distancia son fragmentos de información: trazas del número de tarjeta y, eventualmente, la fecha de vencimiento. El PIN y el CVV dinámico son prácticamente inaccesibles mediante este método. El riesgo real, advierte el especialista, aparece cuando esos datos parciales se combinan con información obtenida por otros medios —bases de datos del mercado negro, datos visibles en credenciales corporativas, ingeniería social— para construir ataques de phishing dirigidos.

“La tormenta perfecta se da cuando nos exponemos ampliamente. En un ascensor corporativo, alguien puede capturar una traza de tu tarjeta, ver tu nombre en el badge y saber dónde trabajas. Con eso puede construir una campaña de engaño con datos reales”, ilustró Zeballos.

El malware que convierte apps legítimas en herramientas de fraude NFC

La amenaza no se limita a dispositivos físicos de lectura. El equipo de investigación de ESET detectó recientemente una campaña activa que troyaniza HandyPay, una aplicación legítima de Android diseñada para retransmitir datos NFC entre dispositivos. Los atacantes parchearon la app con código malicioso —presuntamente generado con herramientas de inteligencia artificial generativa— para transferir los datos de la tarjeta de la víctima hacia su propio dispositivo y realizar extracciones en cajeros automáticos sin contacto.

La campaña, activa desde noviembre de 2025 y dirigida principalmente a usuarios en Brasil, también captura el PIN de la tarjeta y lo exfiltra hacia servidores controlados por los atacantes. La versión maliciosa de HandyPay nunca estuvo disponible en Google Play: se distribuyó a través de un sitio falso que suplantaba a una lotería brasileña y mediante una página que imitaba la tienda oficial de Google.

ESET clasifica esta amenaza como una nueva variante del malware NGate, una familia que abusa de la retransmisión NFC y que, según el ESET Threat Report H2 2025, se expande hacia nuevas regiones de América Latina con tácticas cada vez más sofisticadas. El ecosistema detrás de estas campañas incluye kits de malware-as-a-service como NFU Pay (cerca de 400 dólares mensuales) y TX‑NFC (alrededor de 500 dólares mensuales), promocionados activamente en canales de Telegram.

El celular, más seguro que la tarjeta física

Frente a este panorama, Zeballos establece una distinción práctica entre los dos medios de pago sin contacto más usados. “El NFC del celular se enciende cuando tú lo indicas y se apaga automáticamente una vez que termina la transacción. La activación requiere biometría o código. No hay forma de que la billetera digital se abra sin tu autorización”, afirmó el especialista.

La tarjeta física, en cambio, está permanentemente lista para responder a cualquier campo electromagnético. Si es robada, puede usarse en transacciones de bajo monto que no requieren PIN antes de que el titular logre bloquearla. Por eso, Zeballos recomienda activar los seguros que ofrecen las entidades bancarias para cubrir transacciones no autorizadas desde el momento del robo.

Para quienes prefieren seguir usando tarjetas físicas, existen bloqueadores de señal electromagnética —comercializados por empresas como ESET— que impiden la lectura NFC no autorizada. Algunas billeteras de cuero ya los incorporan de fábrica.

Phishing dinámico, deepfakes de voz y ClickFix: el contexto más amplio

El fraude NFC opera dentro de un ecosistema de amenazas más amplio. Según ESET, el phishing y sus variantes de ingeniería social se consolidan como los principales vectores de ataque en Perú para 2026. Entre las tácticas más recientes figura el phishing dinámico —páginas falsas de servicios populares alojadas en dominios legítimos— y el uso de inteligencia artificial para clonar voces de familiares o superiores y solicitar transferencias urgentes.

Zeballos también advirtió sobre el ataque conocido como ClickFix: una pantalla que simula un fallo de Windows y guía al usuario para que ejecute comandos que en realidad instalan malware. “Cuidado con eso. Si ves que te están pidiendo que incorpores un código de control, no lo hagas. Si es un fallo de Windows, apaga la máquina y vuélvela a arrancar”, indicó.

El fraude informático representa el 68,88% de todas las denuncias por ciberdelincuencia en el país, y los info stealers —programas diseñados para robar credenciales— tienen una tasa de éxito especialmente alta en Sudamérica. “Los delincuentes vienen acá porque caemos muy fácil. Somos curiosos y, como dice el dicho, la curiosidad mata al gato”, afirmó Zeballos.

Ante la ausencia de planes de respuesta en el 25% de las empresas y la baja cultura de seguridad entre usuarios domésticos, el especialista de ESET insiste en que la protección no depende de un solo software. “La seguridad es un conjunto de decisiones. Primero hay que saber a qué te enfrentas, qué puedes perder y qué daño te puede ocasionar. De ahí viene la valoración y recién entonces la acción”, concluyó.