Estafa bancaria con apps falsas y NFC: así roban datos de tarjetas sin que la víctima entregue el plástico

Una nueva campaña detectada en Brasil combina apps falsas para Android, ingeniería social y tecnología NFC para robar datos de tarjetas y el PIN de las víctimas. Te explicamos cómo funciona este fraude, a quién afecta y qué medidas pueden ayudarte a evitarlo.

Las estafas bancarias están en constante evolución, y esta vez han tomado un giro especialmente preocupante: se combinan aplicaciones falsas para Android, ingeniería social y tecnología NFC. La última alerta proviene de Brasil, donde investigadores de ESET han descubierto una nueva campaña del malware NGate que se infiltra en una app legítima llamada HandyPay para robar datos de tarjetas y el PIN de las víctimas. Según la investigación, esta campaña está dirigida a usuarios de Android en Brasil y ha estado activa desde al menos noviembre de 2025, con el potencial de expandirse a otros países de América Latina.

Una estafa bancaria más sofisticada y difícil de detectar

Lo que hace que esta amenaza sea particularmente peligrosa es que no se asemeja al fraude bancario tradicional, donde la víctima proporciona información por teléfono o introduce su tarjeta en un sitio web falso. Aquí, el engaño va un paso más allá.

Así consiguen robar los datos de la tarjeta y el PIN

Los delincuentes logran que la persona instale una aplicación fuera de Google Play y luego la convencen de acercar su tarjeta bancaria al móvil con el NFC activado y de ingresar su PIN dentro de la propia app. A partir de ese momento, el malware puede leer los datos NFC de la tarjeta, enviarlos al servidor de los atacantes y permitir que otro dispositivo controlado por la red criminal los utilice para retirar efectivo en cajeros sin contacto o realizar pagos no autorizados.

Los cebos que usan para distribuir la app falsa

La campaña detectada en Brasil utiliza varios cebos.

Webs falsas y páginas que imitan Google Play

ESET explica que una de las muestras se distribuía a través de un sitio web falso que imitaba a una lotería brasileña, mientras que otra se propagaba mediante una página falsa de Google Play que ofrecía una supuesta app de “protección de tarjeta”. La víctima no descarga la aplicación desde la tienda oficial, sino que debe instalarla manualmente, habilitando la instalación desde esa fuente. Este detalle es crucial, ya que Google advierte explícitamente que descargar apps desde fuentes desconocidas puede poner en riesgo tanto el dispositivo como la información personal del usuario.

El engaño previo: falso soporte y sensación de urgencia

Además, este tipo de fraude no surge de la nada. El Ministerio de Justicia de Brasil, a través de la Alianza Nacional de Combate a las Fraudes Bancarias Digitales, menciona en su glosario el término “golpe del falso soporte”. En este esquema, el delincuente se hace pasar por una entidad financiera y logra que la víctima instale aplicaciones maliciosas o comparta información personal, todo bajo el pretexto de un problema con su cuenta o tarjeta. En esencia, aunque la técnica puede variar, la estrategia de engaño sigue siendo la misma: generar una sensación de urgencia, aparentar ofrecer ayuda y conseguir que la víctima se abra a la manipulación.

A quién afecta esta amenaza y por qué preocupa en América Latina

Principalmente a los usuarios de Android que aceptan instalar aplicaciones fuera de los canales oficiales y que pueden ser influenciados por mensajes que aparentan ser de seguridad bancaria, protección de tarjetas o alertas sobre compras sospechosas. ESET ha identificado todos los dispositivos comprometidos en Brasil, y Kaspersky ha estado advirtiendo durante meses sobre el aumento del fraude NFC y de campañas cada vez más sofisticadas dirigidas a pagos móviles y banca digital en la región. Aunque esto no significa que el mismo ataque ya esté ocurriendo en toda América Latina, sí es una clara señal de que el ecosistema criminal está experimentando con métodos que podrían expandirse rápidamente.

Por qué la víctima puede no darse cuenta del robo

Una de las razones por las que este fraude puede ser tan peligroso es que la víctima no se da cuenta de que está entregando su tarjeta. La tarjeta sigue físicamente en su poder, no ha tenido que recitar su número y, en muchos casos, cree que solo está realizando una “verificación” o una “protección” recomendada por el supuesto banco. Kaspersky enfatiza precisamente esto: para la víctima, el robo puede pasar desapercibido porque todo parece una operación normal, y el uso posterior de los datos puede llevarse a cabo desde otro teléfono que emula la tarjeta para realizar pagos o retirar dinero.

La importancia de Play Protect frente a las apps no verificadas

Un detalle importante a tener en cuenta es que la app troyanizada mencionada por ESET no solicitaba permisos adicionales que llamaran la atención, lo que facilita que pase desapercibida. Por su parte, Google explica que Play Protect revisa las aplicaciones, analiza comportamientos dañinos, advierte sobre aplicaciones potencialmente peligrosas e incluso puede bloquear la instalación de software no verificado que utilice permisos sensibles, los cuales los estafadores suelen aprovechar para llevar a cabo fraudes financieros. También recuerda que Play Protect está activado por defecto y recomienda mantenerlo siempre encendido.

Cómo prevenir esta estafa bancaria con apps falsas y NFC

La prevención, en este caso, se basa en una idea muy sencilla: ningún banco serio debería pedirte que instales una app fuera de la tienda oficial para “proteger” tu tarjeta o verificar operaciones. Tampoco debería solicitarte que acerques tu tarjeta bancaria al móvil ni que introduzcas el PIN en una aplicación que descargaste a través de un enlace recibido por SMS, WhatsApp, llamada o una web no oficial. Si un mensaje o una llamada te instan a actuar rápidamente, eso ya es una señal de alerta. Google aconseja siempre verificar la fiabilidad de una app, sus valoraciones y su origen, y advierte sobre los riesgos de instalar software desde fuentes desconocidas. Además, la FTC insiste en que no se debe proporcionar información financiera en respuesta a solicitudes inesperadas por llamada, correo electrónico o mensaje.

Cinco medidas clave para reducir el riesgo

Es importante revisar algunas medidas prácticas que realmente pueden hacer la diferencia:

No instales aplicaciones bancarias o de “seguridad” que no provengan de Google Play o de la tienda oficial del fabricante.
Asegúrate de mantener Google Play Protect activado.
Desconfía de cualquier solicitud que te pida acercar tu tarjeta al móvil como parte de una supuesta verificación.
Evita introducir el PIN de tu tarjeta en una app que hayas descargado desde un enlace.
Si recibes una supuesta alerta de tu banco, corta la conversación y contacta directamente con ellos a través de su canal oficial.

Qué hacer si ya has instalado una app sospechosa

Si alguien ya ha instalado una app sospechosa o cree que ha acercado su tarjeta a un teléfono comprometido, lo más sensato es actuar rápidamente: bloquear o pausar la tarjeta, revisar los movimientos, contactar con el banco y desinstalar la aplicación. Google menciona que Play Protect puede detectar y eliminar aplicaciones dañinas, pero eso no reemplaza la necesidad de que la víctima reaccione ni la intervención del banco si ya ha habido un uso fraudulento.

Una amenaza que puede extenderse más allá de Brasil

En el fondo, esta alerta no se trata solo de NFC o Android. Es algo más amplio: cómo el fraude bancario se está adaptando a los hábitos de los usuarios móviles. Cuanto más común se vuelve pagar con el teléfono, validar operaciones desde una app o confiar en una supuesta “protección” digital, más espacio ganan los delincuentes para disfrazar sus trampas como ayuda técnica. Brasil es actualmente el foco más visible de esta campaña, pero el mensaje importante para el resto de América Latina es claro: cuando una estafa tiene éxito, no suele quedarse quieta en un solo país.

Fuentes consultadas:

WeLiveSecurity / ESET, NGate reaparece en Brasil con una campaña de fraude NFC mediante la app HandyPay (21 de abril de 2026).
Blog oficial de Kaspersky, Ataques directos e inversos mediante retransmisión NFC utilizados para robar dinero (28 de enero de 2026).
Kaspersky, Kaspersky anticipa para 2026 ciberamenazas financieras impulsadas por IA y un auge de fraudes dirigidos a pagos móviles (27 de diciembre de 2025).
Google Play Help, Use Google Play Protect to help keep your apps safe & your data private.
Android Help, Download apps to your Android device.
Ministerio de Justicia de Brasil, Alianza Nacional de Combate a las Fraudes Bancarias Digitales, glosario de tipologías.

Sobre el autor
Joan Torras es fundador de InfoEstafas.com y responsable editorial del proyecto. Redacta y revisa contenidos sobre estafas online, fraudes digitales y prevención en internet.

Comparte este Post:

Noticias relacionadas

Alerta por estafas con el álbum del Mundial 2026 en América Latina mediante webs falsas y ofertas en redes sociales

El álbum del Mundial 2026 ya se usa como anzuelo para estafas en América Latina

Ciberdelincuentes están utilizando el álbum y los stickers del Mundial 2026 como gancho para crear tiendas falsas, difundir ofertas por WhatsApp e Instagram y captar pagos de aficionados en América Latina.

Fraude financiero en redes sociales en Latinoamérica con móvil, banca digital, phishing y alertas de seguridad

El fraude financiero en Latinoamérica crece en redes sociales: los estafadores ya no esperan en el correo electrónico

El fraude financiero en redes sociales aumenta en Latinoamérica. Perfiles falsos, anuncios engañosos, phishing y suplantación de bancos se están usando para captar víctimas y acceder a sus datos o cuentas.

México frente al aumento de ciberataques y la caída de la inversión en ciberseguridad

México sufre más presión digital, pero el blindaje no avanza al mismo ritmo

México vive una paradoja preocupante: aumentan los ciberataques y las filtraciones, pero varias instituciones públicas han reducido su inversión en informática y protección digital. El debate ya no es solo técnico, sino también institucional y social.