Estafas en cajeros automáticos: La nueva modalidad que roba tu plata sin tarjeta

El avance de los pagos sin contacto llegó para simplificar la vida financiera de millones de personas, pero también abrió la puerta a un fenómeno inquietante, una modalidad de robo en cajeros automáticos que no necesita ni la tarjeta física ni el teléfono robado.

Todo ocurre de forma silenciosa, remota y en cuestión de segundos, dejando a los usuarios indefensos frente a extracciones ilegítimas que pueden vaciar una cuenta bancaria antes de que la víctima detecte algo.

Investigaciones recientes y alertas de especialistas muestran cómo los ciberdelincuentes están explotando vulnerabilidades asociadas al NFC (la tecnología que permite pagos acercando el teléfono al lector). El problema ya se expandió en regiones donde los cajeros automáticos con soporte para pagos contactless son cada vez más comunes. Y lo preocupante es que esta tendencia continúa en aumento.

Olvidar la tarjeta ya no frena el uso del cajero automático.

¿Cómo se realizan estafas en cajeros automáticos sin usar la tarjeta?

El eje central del fraude está en la infección previa del celular mediante malware. Los delincuentes no necesitan robar la tarjeta ni tener en la mano el teléfono de la víctima. Lo único que requieren es que el equipo haya sido comprometido.

La trama empieza cuando el usuario, sin saberlo, instala una aplicación maliciosa —generalmente después de caer en un correo de phishing, un mensaje engañoso o la descarga de una APK pirata—. Con ese mínimo paso, el atacante obtiene acceso a las funciones NFC del dispositivo y puede redirigir la autenticación bancaria hacia un terminal externo.

Este tipo de fraudes se volvió factible gracias a avances como NFCGate, un proyecto académico que en 2020 demostró que era posible interceptar y retransmitir señales NFC. Tres años más tarde surgió NGate, una variante más sofisticada que llevó ese concepto al terreno del delito: redirigir las credenciales de autenticación bancaria hacia un cajero automático para realizar extracciones reales de dinero.

Cajeros automáticos y estafas remotas: ¿cómo operan los ciberdelincuentes?

Los ataques actuales se dividen en dos grandes modalidades:

Atacante cerca del cajero:
El delincuente se posiciona frente a un cajero automático que tiene NFC. Mientras tanto, recibe en tiempo real la información desde el celular de la víctima —infectado previamente—. Ese flujo le permite autorizar la extracción como si fuese el dueño legítimo de la cuenta.
Robo desde cualquier parte del mundo:
En esta variante, el malware del teléfono envía automáticamente las credenciales al servidor del atacante. Luego, el delincuente puede operar un cajero compatible en cualquier país y retirar dinero, sin necesidad de estar cerca del dispositivo de la víctima.

En ambos casos, la operación ocurre sin contacto físico. El usuario puede estar trabajando, durmiendo o viajando, sin sospechar que sus fondos están siendo drenados.

¿Por qué crecen las estafas en cajeros automáticos con NFC?

La masificación de pagos contactless a través de billeteras digitales como Apple Wallet o Google Wallet aumentó exponencialmente la comodidad de los usuarios. Sin embargo, también elevó el riesgo de que delincuentes automatizados aprovechen la tecnología para operar sin dejar rastros visibles.

Los cajeros modernos ya permiten realizar operaciones simplemente acercando el celular. Esto significa que, si un malware accede al sistema NFC del usuario, puede imitar esa acción sin que la víctima intervenga. El resultado termina siendo las extracciones instantáneas que no requieren clave física, tarjeta ni presencia del titular.

billetes cajeros automáticos 2.jpg

Cajeros automáticos y estafas: Así se infecta un celular antes del robo

El éxito del delito siempre depende de un primer paso, comprometer el celular. Las vías más comunes son:

Phishing por correo o SMS, donde se induce a la víctima a instalar una app falsa creyendo que es una actualización oficial o un premio.
Descarga de APK piratas, especialmente en Android, que contienen malware camuflado.
Mensajes en redes sociales que prometen ganancias rápidas, ofertas laborales irreales o beneficios financieros.

Cuando el usuario concede permisos a estas apps, habilita sin querer el acceso del atacante a notificaciones bancarias, PIN, SMS de confirmación y funciones NFC. Todo ocurre sin que nadie lo note.

¿Cómo prevenir estafas en cajeros automáticos sin tarjeta física?

Aunque el fraude es complejo, hay medidas efectivas para evitarlo:

Actualizar el sistema operativo del celular de forma constante.
Instalar apps solo desde Google Play o App Store; nunca usar APK externas.
Desconfiar de mensajes urgentes que pidan datos personales o instalación de software.
Revisar periódicamente los permisos que tienen las aplicaciones instaladas.
Evitar enlaces sospechosos o que prometan premios, empleos o ventajas financieras irreales.

Lo ideal es poder minimizar al máximo la posibilidad de que un software malicioso ingrese al dispositivo, porque una vez dentro, puede operar sin límites.