Recibes un aviso de tu banco, acercas la tarjeta al móvil y te la clonan: la estafa con NFC que ya tiene víctimas en España

La firma de ciberseguridad ESET ha detectado una agresiva campaña de fraude que ya está afectando a usuarios en España. Se trata de NGate, un malware que secuestra el sensor NFC de los móviles Android para clonar tarjetas físicas.

Los ciberdelincuentes están suplantando la identidad de entidades como Santander, CaixaBank y Unicaja, además de comercios populares como Shein, para engañar a las víctimas y acceder a su dinero.

La trampa del falso bloqueador de cargos

Todo comienza con un SMS o un aviso en una página web fraudulenta. El usuario recibe una alerta sobre un supuesto cargo no autorizado o un problema urgente con su cuenta bancaria, una técnica cada vez más habitual en este tipo de ataques, donde muchos usuarios no detectan el intento de estafa a tiempo.

Ese mensaje busca generar alarma inmediata. En ese momento, el usuario es dirigido a instalar una aplicación para solucionar el problema.

La app suele presentarse como una herramienta de seguridad, con nombres similares a bloqueador de cargos NFC, y se descarga desde una web que imita el diseño de Google Play -una técnica muy similar a la de las tiendas falsas que circulan en redes sociales-, para parecer legítima.

Acercar la tarjeta al móvil: el error fatal

Una vez instalada, la aplicación solicita un paso de verificación aparentemente normal: acercar la tarjeta física al móvil.

En ese momento entra en juego el NFC, la tecnología que permite pagar con el teléfono. El malware aprovecha este sistema para leer los datos del chip de la tarjeta y, en algunos casos, solicita también el código PIN.

Josep Albors, director de investigación y concienciación de ESET España, advierte: “Lo preocupante de esta campaña es que utiliza una tecnología cotidiana y ampliamente adoptada, como el NFC, para construir un engaño muy convincente. El usuario cree que está protegiendo su cuenta, cuando en realidad está facilitando datos críticos a los delincuentes”.

Devil NFC: clonación directa al cajero automático

El fraude no se limita a compras online. Los investigadores han vinculado estos ataques con una red criminal denominada Devil NFC, activa desde 2026 y centrada en países hispanohablantes.

El funcionamiento convierte el móvil de la víctima en un puente entre el mundo físico y digital. Los datos capturados se envían a los atacantes, que crean una copia exacta de la tarjeta en sus propios dispositivos, siguiendo un patrón habitual en el que los delincuentes no hackean directamente, sino que engañan al usuario para obtener acceso.

Con esa clonación y el PIN robado, los delincuentes pueden acudir a cajeros con tecnología contactless y retirar dinero en efectivo sin necesidad de la tarjeta original.

Cómo proteger tu cuenta ante la estafa NGate

Dado que este tipo de fraudes evoluciona constantemente, la prevención es fundamental. Estas son las recomendaciones básicas para evitar caer en la trampa:

• Ignora la urgencia: Los bancos no te pedirán instalar aplicaciones externas mediante SMS.
• Descarga solo desde tiendas oficiales: Evita archivos APK o enlaces externos.
• No escanees tu tarjeta: Nunca acerques tu tarjeta ni introduzcas tu PIN en una app desconocida.
• Contacta directamente con tu banco: Ante cualquier duda, llama al número oficial de tu entidad.

La clave está en desconfiar de cualquier mensaje que genere presión o urgencia. En la mayoría de los casos, ese es el primer indicio de que se trata de un intento de fraude.