Login Probar gratis
Ataques NFC relay: cómo interceptan pagos móviles sin contacto

Ataques NFC relay: cómo interceptan pagos móviles sin contacto

por MataSpam Ciberataques

Un ataque NFC relay permite que dos delincuentes cobren tu tarjeta contactless aunque tú estés en Lleida y tu tarjeta en el bolsillo. No es magia: uno acerca un lector a tu cartera, el otro acerca un móvil a un datáfono a kilómetros de distancia, y la señal viaja por internet en milisegundos. Esto es el relay contactless, y es la evolución sofisticada del skimming NFC avanzado. A diferencia del fraude clásico, aquí nadie clona nada: la tarjeta real responde en tiempo real a un terminal real. El pago móvil interceptar deja de ser ciencia ficción y se convierte en un problema de logística criminal. Te explicamos cómo funciona, qué riesgo real corres en una terminal de bus o en una cafetería, y qué puedes hacer sin convertirte en un paranoico con la cartera forrada de papel albal.

Qué es exactamente un ataque NFC relay

El NFC (Near Field Communication) funciona a distancias cortas, en torno a 4 centímetros. La industria vendió esa proximidad como seguridad: si hay que estar pegado, nadie te roba desde lejos. El ataque NFC de tipo relay rompe esa premisa.

El esquema necesita dos dispositivos y dos personas. Uno actúa de mole (lector falso) y el otro de proxy (emulador de tarjeta). El mole se acerca a tu tarjeta o a tu móvil con Apple Pay o Google Pay activo. El proxy se acerca al datáfono de un comercio. Entre ambos hay un túnel de datos —wifi, 4G, Bluetooth— que reenvía las preguntas del terminal y las respuestas de tu tarjeta. Ni el terminal ni tu tarjeta saben que están hablando con un intermediario.

La gracia del relay es que no rompe el cifrado EMV. No lo necesita. Reenvía mensajes legítimos. Es como un traductor que repite palabra por palabra una conversación entre dos personas que creen estar cara a cara. La técnica está documentada desde hace años en investigación académica: el trabajo de Saar Drimer y Steven Murdoch de la Universidad de Cambridge sobre relay attacks en EMV (2007) ya describía el problema mucho antes de que existieran las tarjetas contactless masivas.

Casos reales: del laboratorio al cajero

Esto dejó de ser teórico. En 2024, la firma de ciberseguridad ESET documentó NGate, un malware para Android que convertía el móvil de la víctima en una herramienta de relay. La víctima instalaba una app falsa de su banco (phishing clásico), y el malware capturaba los datos NFC de la tarjeta apoyada en el teléfono para retransmitirlos al dispositivo del atacante, que sacaba dinero en cajeros checos. Combinaba ingeniería social y relay contactless en un solo golpe.

Las herramientas no son exóticas. Proyectos como NFCGate (de la Universidad Técnica de Darmstadt), pensados para investigación, permiten capturar y reenviar tráfico NFC entre dos móviles Android rooteados. Lo que nació como herramienta académica acabó, como pasa siempre, en manos menos académicas. Es el mismo patrón que vemos en otros frameworks de seguridad: lee nuestra introducción a Metasploit y el pentesting automatizado para entender cómo una herramienta legítima se convierte en arma según quién la empuñe.

El límite práctico del fraude lo pone el importe sin PIN. En España, los pagos contactless por debajo de 50 euros no piden PIN por defecto (límite fijado por la normativa PSD2 y las redes de pago). Eso convierte el pago móvil interceptar en un negocio de importes pequeños y repetidos, no en un atraco único millonario.

Cómo se diferencia del skimming clásico

Conviene no mezclar conceptos, que aquí hay mucho titular alarmista. Comparemos:

TécnicaQué haceNecesitaDificultad real
Skimming físicoCopia la banda magnética con un lector ocultoManipular el cajero/datáfonoMedia — requiere acceso físico al terminal
Skimming NFC avanzadoLee datos de la tarjeta a corta distanciaLector NFC y proximidadBaja captura, poco aprovechable por sí solo
NFC relayReenvía la transacción en tiempo real a otro puntoDos dispositivos coordinados + víctima presenteAlta — logística y sincronización

La diferencia clave: el skimming roba datos para usarlos después. El relay roba una transacción en vivo. Por eso el relay es más difícil de montar pero también más difícil de detectar, porque la operación parece perfectamente legítima desde el banco. No hay tarjeta clonada que cruce una frontera; hay una compra real autorizada por tu chip real.

Señales de alerta y mitigaciones reales

No te vamos a vender forros antichip mágicos como si esto fuera el apocalipsis. La defensa contra el ataque NFC relay es más aburrida y más efectiva:

  • Tiempo de respuesta (distance bounding): la propia EMVCo introdujo protocolos que miden la latencia de la comunicación. Un relay añade milisegundos de retardo por la red intermedia, y el terminal puede rechazar la operación si tarda demasiado. Es la defensa técnica más seria que existe.
  • Notificaciones push del banco: activa los avisos por cada cargo. Un cobro fantasma de 30 euros mientras tomas un café es la señal más rápida que tendrás.
  • Wallets sobre biométrica: Apple Pay y Google Pay generan tokens dinámicos y exigen Face ID o huella. Eso hace el relay contra el móvil mucho más complejo que contra una tarjeta física pasiva.
  • Cartera con bloqueo RFID: útil contra la captura no autorizada, aunque no es la panacea que prometen los anuncios.
  • Revisa movimientos pequeños: el fraude por relay vive de importes bajo el umbral del PIN. Esos 4,99 € que no recuerdas son sospechosos.

Si gestionas pagos en un negocio, el problema escala. Un terminal comprometido o una red wifi insegura amplía la superficie de ataque. Aquí entra la disciplina de un Centro de Operaciones de Seguridad (SOC) que monitorice patrones anómalos de transacciones en tiempo real. Y si tu empresa permite cobros remotos o teletrabajo con acceso a sistemas de pago, cifrar el tránsito con una VPN corporativa bien configurada reduce el riesgo de que el túnel del relay encuentre una red abierta de la que aprovecharse.

Para comprobar si tus datos personales o credenciales bancarias han aparecido en alguna filtración —el primer paso de muchos fraudes combinados— pasa tu correo por Have I Been Pwned. Y si recibes una app o un APK sospechoso supuestamente de tu banco, analízalo en VirusTotal antes de instalarlo. NGate entró por esa puerta.

Preguntas frecuentes

¿Pueden robarme con NFC solo pasando cerca con el móvil en el metro?

Es muy poco probable con un solo dispositivo y de forma masiva. El relay necesita coordinación entre dos atacantes y una víctima identificada, no un paseo aleatorio por el vagón. El riesgo real está más en apps maliciosas instaladas en tu propio teléfono que en alguien rozándote la cartera.

¿Apple Pay y Google Pay son seguros frente al relay contactless?

Más seguros que una tarjeta física. Usan tokenización y exigen autenticación biométrica por cada pago, lo que rompe el modelo pasivo del que vive el relay. No son invulnerables, pero suben mucho el coste del ataque.

¿Sirven realmente las carteras con bloqueo RFID?

Sirven para evitar la lectura no autorizada de la tarjeta en reposo, que es el paso inicial de algunos ataques. No protegen contra malware en tu móvil ni contra un relay que use tu propio teléfono desbloqueado. Son una capa, no una solución completa.

¿Qué hago si veo un cargo pequeño que no reconozco?

Bloquea la tarjeta desde la app del banco inmediatamente y reclama el cargo. La normativa europea PSD2 te protege: en pagos no autorizados, el banco debe reembolsar salvo negligencia grave demostrada. No esperes a que se acumulen.

¿El límite de 50 euros sin PIN me protege?

Limita el daño por operación, no lo impide. Un atacante puede intentar varios cargos pequeños seguidos, aunque los sistemas antifraude suelen pedir PIN tras un número de pagos contactless acumulados. Es un freno, no un muro.

El skimming NFC avanzado y el relay seguirán evolucionando mientras el contactless siga siendo cómodo, y nadie va a renunciar a pagar el café acercando el móvil. La buena noticia es que la mayoría de defensas no dependen de ti forrando la cartera, sino del banco y del estándar EMV haciendo su trabajo. Tu parte es vigilar los movimientos y no instalar apps de bancos que llegan por SMS o WhatsApp —ahí es donde te pillan de verdad, igual que pasa con la sextorsión y otras estafas por mensaje que explican otros artículos del blog. Si te interesa entender cómo funcionan los sistemas que protegen tus pagos digitales, en el blog de Piqture Group tienes más material sobre inteligencia artificial aplicada a la seguridad y detección de fraude.

El siguiente paso

Abre ahora mismo la app de tu banco y activa las notificaciones push por cada cargo, sin importe mínimo. Cinco minutos de configuración y serás la primera persona en enterarte si alguien intenta colarte un pago fantasma. Es la defensa más barata y más rápida contra cualquier fraude contactless.

nfc relay ataque nfc pago móvil interceptar relay contactless skimming nfc avanzado
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Pass-the-hash: cómo los atacantes se mueven lateralmente sin descifrar contraseñas
Ciberataques

Pass-the-hash: cómo los atacantes se mueven lateralmente sin descifrar contraseñas

DNS tunneling: cómo los atacantes exfiltran datos a través del DNS
Ciberataques

DNS tunneling: cómo los atacantes exfiltran datos a través del DNS

Juice jacking: los riesgos de cargar tu móvil en puertos USB públicos
Ciberataques

Juice jacking: los riesgos de cargar tu móvil en puertos USB públicos

← Volver al blog