Estafas en cajeros automáticos: cómo pueden vaciar tu cuenta sin usar la tarjeta

Interes General Jueves 20 de Noviembre de 2025

Estafas en cajeros automáticos: cómo pueden vaciar tu cuenta sin usar la tarjeta

Enviar Imprimir

Lo que antes parecía imposible hoy es una amenaza concreta: que te vacíen la cuenta bancaria sin que nadie te robe la tarjeta ni el celular. Con la expansión de los pagos sin contacto (NFC) y los cajeros automáticos que ya operan con tecnología contactless, surgió una modalidad de fraude silenciosa, rápida y muy difícil de detectar a tiempo.

En muchos casos, las víctimas descubren el problema recién cuando consultan el homebanking o reciben una alerta por débitos o extracciones que nunca realizaron. Para entonces, los delincuentes ya ejecutaron las operaciones desde un cajero automático que acepta operaciones acercando el teléfono en lugar de insertar la tarjeta.

El nuevo blanco: el NFC del celular

La clave de esta estafa no está en el plástico de la tarjeta, sino en el celular. Los ciberdelincuentes no necesitan tener en sus manos el dispositivo de la víctima: les alcanza con haberlo infectado previamente con un software malicioso.

Ese malware, que se instala sin que el usuario se dé cuenta, es capaz de interceptar y manipular las comunicaciones que pasan por el chip NFC del teléfono. De ese modo, puede “trasladar” la autenticación bancaria hacia un equipo externo que maneja el atacante y usarla como si fuera el dueño legítimo de la cuenta.

Este tipo de ataques se hizo viable a partir de desarrollos como NFCGate, un proyecto presentado en 2020 que demostró que era posible capturar y reenviar señales NFC. Más tarde apareció NGate, una evolución pensada ya con fines delictivos, que permitió llevar esas credenciales hasta cajeros automáticos compatibles para concretar extracciones reales de efectivo.

Dos formas de operar: del cajero de la esquina a otro país

Las investigaciones sobre estos casos detectan dos grandes esquemas de fraude:

1. Estafador frente al cajero
En esta modalidad, el delincuente se ubica físicamente delante de un cajero automático con lector NFC.

El celular de la víctima, infectado con malware, envía en tiempo real la información necesaria para autenticar la operación.
El atacante usa ese flujo de datos como si estuviera operando con su propio teléfono, pero en realidad está usando las credenciales de la cuenta ajena.

2. Extracciones desde cualquier lugar del mundo
La segunda variante es aún más peligrosa:

El malware instalado en el celular remite las credenciales a un servidor controlado por el delincuente.
Desde allí, el atacante puede manejar un cajero automático compatible en otro país o en cualquier ciudad, sin tener que estar cerca de la víctima.

En ambos casos, las extracciones ocurren sin contacto físico, sin tarjeta y sin presencia del titular. La persona puede estar trabajando, durmiendo o viajando mientras su saldo se consume en cuestión de minutos.

Por qué esta modalidad está creciendo

El uso masivo de billeteras digitales como Apple Wallet o Google Wallet hizo que millones de personas se acostumbren a pagar acercando el celular, tanto en comercios como en cajeros. La comodidad es enorme, pero el riesgo también crece:

Los cajeros modernos permiten operar solo con el teléfono, sin necesidad de insertar la tarjeta.
Si un malware toma control del módulo NFC del equipo, puede “simular” ese acercamiento sin que el usuario toque nada.

Así, se producen extracciones instantáneas que no requieren tarjeta física, ni ingreso de PIN en el cajero por parte del titular, ni presencia del dueño de la cuenta en el lugar donde se realiza la operación.

Cómo logran infectar el celular antes del robo

Para que el fraude funcione, el primer paso es siempre el mismo: comprometer el teléfono de la víctima. Las vías más habituales son:

Correos o SMS de phishing: mensajes que se hacen pasar por el banco, una empresa de servicios o un organismo público y piden instalar “actualizaciones”, “aplicaciones de seguridad” o reclamar un supuesto premio.
Descarga de APK piratas: en especial en dispositivos Android, donde se instalan apps fuera de la tienda oficial que traen malware oculto.
Mensajes en redes sociales: publicaciones o chats que prometen inversiones milagrosas, empleos irreales o beneficios financieros, acompañados por enlaces a aplicaciones fraudulentas.

Cuando el usuario instala esas apps y les concede permisos, abre la puerta para que el atacante acceda a notificaciones bancarias, códigos enviados por SMS, PIN y, en los casos más avanzados, a las funciones NFC del dispositivo. Todo se realiza en segundo plano, sin signos visibles.

Claves para prevenir estafas en cajeros automáticos sin tarjeta

Aunque el mecanismo técnico sea sofisticado, hay una serie de hábitos que ayudan a reducir drásticamente el riesgo:

Mantener el sistema operativo siempre actualizado, tanto en Android como en iOS.
Instalar aplicaciones solo desde tiendas oficiales (Google Play o App Store) y evitar por completo las APK de origen desconocido.
Desconfiar de los mensajes urgentes que pidan datos personales, códigos de verificación o instalación de programas.
Controlar los permisos de las apps instaladas y revocar aquellos que no sean necesarios, en especial acceso a SMS, notificaciones y funciones de sistema.
No hacer clic en enlaces sospechosos ni en ofertas extraordinarias de premios, trabajos o oportunidades financieras.

Cuanto más difícil sea que un software malicioso entre al teléfono, menor será la posibilidad de que alguien pueda usar el NFC del dispositivo para operar un cajero automático a distancia y quedarse con el dinero de la cuenta. En un escenario donde la tecnología avanza rápido, la primera barrera de seguridad sigue siendo la prudencia del usuario.