Identifican una forma de robar en cajeros automáticos sin la tarjeta física: te contamos cuál para evitar estafas

El avance de las tecnologías de pago sin contacto ha cambiado los hábitos financieros, pero también abre la puerta a una amenaza creciente: el robo bancario en cajeros automáticos, que no exige la presencia física de la tarjeta de crédito o débito.

Esta modalidad, aprovechada principalmente por ciberdelincuentes especializados, amenaza con expandirse a mercados donde el uso de NFC es más habitual.

El funcionamiento de este ataque no necesita el robo del dispositivo móvil ni de la tarjeta física, basta con que el teléfono esté comprometido por un software malicioso para que las cuentas bancarias queden expuestas a retiradas ilegítimas de efectivo en cuestión de segundos.

Cómo funciona el robo en cajero sin tarjeta

La mayoría de los teléfonos inteligentes modernos incluyen NFC (Near Field Communication, o comunicación de campo cercano), una tecnología que habilita pagos y transferencias de datos en distancias cortas. Inicialmente, la comunidad confiaba en la sólida seguridad de estas transacciones, bajo el supuesto de que nadie podría interceptarlas ni clonarlas.

Sin embargo, esta percepción comenzó a cambiar en 2020, cuando el proyecto académico NFCGate demostró que era posible interceptar y retransmitir flujos de datos NFC entre un dispositivo y un terminal financiero.

La sofisticación de los ataques dio un salto al aparecer, tres años después, una variante llamada NGate, que utilizó la tecnología desarrollada por NFCGate como base para operaciones reales de fraude. El procedimiento sigue un patrón claro: los atacantes contactan a las víctimas por medio de engaños y las persuaden para instalar aplicaciones maliciosas en sus dispositivos Android.

Al hacerlo, logran canalizar la autenticación NFC al acceso bancario y autorizar transacciones de forma remota.

Existen varias formas de poner en práctica el golpe. En una de sus versiones, el atacante permanece cerca de un cajero automático compatible con NFC, mientras recibe en tiempo real los datos extraídos de la terminal comprometida.

En otra variante, el dispositivo de la víctima ya contiene malware, que envía los datos necesarios a los servidores del atacante para autorizar extracciones o transferencias desde un cajero ubicado en cualquier parte del mundo.

La popularidad de los cajeros automáticos con soporte para pagos contactless hace que cada vez más clientes utilicen sus teléfonos móviles o sus tarjetas virtuales a través de aplicaciones como Apple Wallet y Google Wallet.

Esta comodidad, no obstante, contribuye a la vulnerabilidad frente a técnicas automatizadas de fraude, donde el robo no deja huellas inmediatas ni requiere interacción física evidente. El usuario puede descubrir la estafa solo cuando ha perdido el control de sus fondos.

Así surgen los ataques con NFC en el celular

El éxito de la operación depende de la infección inicial. La puerta de entrada más común son los correos electrónicos de tipo phishing, mensajes de texto o enlaces de redes sociales que prometen ganancias fáciles, empleos o recompensas. Además, la instalación de aplicaciones piratas —llamadas APK en Android— fuera de las tiendas oficiales también figura como un vector de riesgo relevante.

Las víctimas suelen desconocer que, tras conceder permisos a estas aplicaciones, abren la posibilidad de que el malware acceda a las funciones NFC de su móvil.

Una vez infectado el teléfono, el software espía puede operar de dos formas principales. En el primer caso, intercepta las notificaciones y mensajes (incluidos SMS de confirmación y PIN bancarios) e inmediatamente utiliza el canal NFC para transmitir estas credenciales a un socio delictivo cercano a un cajero automático. Así, el colaborador del criminal simplemente acerca un dispositivo autorizado y realiza la extracción de dinero.

Cómo prevenir el robo sin tarjeta en cajeros y otros lugares

A pesar de la sofisticación del fraude, algunos hábitos y medidas pueden reducir drásticamente la probabilidad de ser víctima. El punto de partida es mantener siempre actualizado el sistema operativo del dispositivo móvil y ceñirse a la descarga de aplicaciones solo desde tiendas oficiales, como Google Play Store o App Store.

Evitar la instalación de APK piratas o de origen incierto es crucial, ya que muchas variantes de malware aprovechan esta puerta trasera para ingresar al sistema.

Desconfiar de mensajes que soliciten permisos innecesarios o que prometan recompensas dudosas es parte de la primera línea de defensa. Los cibercriminales suelen apelar a la urgencia o la emoción de la víctima ideal, promoviendo negocios milagrosos u ofertas laborales imposibles.

Verificar la autenticidad de cualquier comunicación que implique la instalación de software o el ingreso de datos bancarios se convierte en un acto esencial.

Finalmente, revisar con frecuencia los permisos concedidos a las aplicaciones, rechazar accesos innecesarios, y mantenerse vigilante ante intentos de phishing o enlaces sospechosos contribuye en gran medida a impedir la ejecución silenciosa de malware.