Apple Pay se ha hecho un hueco como una de las formas de pago móvil más utilizadas del planeta, con cientos de millones de usuarios y billones de operaciones cada año. Esa presencia masiva y la confianza que genera el sello de Apple lo han convertido en un objetivo muy apetecible para los estafadores.
Aunque el sistema está diseñado con fuertes medidas de seguridad —como Face ID, Touch ID, tokenización de las tarjetas y passkeys para un acceso más seguro—, los delincuentes han aprendido a sortear esa protección «hackeando» al usuario y no a la tecnología. El problema no suele estar en Apple Pay, sino en la forma en que logran que entreguemos datos o aprobemos operaciones sin darnos cuenta.
Por qué Apple Pay está en el punto de mira de los estafadores
Según diferentes informes de empresas de ciberseguridad como ESET, Apple Pay procesa ya volúmenes astronómicos de dinero en todo el mundo. Donde se mueve tanto efectivo, aparecen actores dispuestos a explotarlo, especialmente aprovechando la reputación de seguridad del ecosistema de Apple para que las víctimas bajen la guardia.
Los expertos subrayan que no se trata de un fallo técnico masivo en la plataforma. Apple Pay utiliza autenticación biométrica para autorizar pagos y un sistema de tokenización que evita que el número real de la tarjeta se comparta con comercios o se almacene en claro en el dispositivo. El objetivo de los estafadores es distinto: robar datos de acceso, ID de Apple, códigos 2FA y credenciales bancarias para vincular nuestras tarjetas a sus propias carteras digitales.
Las técnicas usadas entran de lleno en el terreno de la ingeniería social. Mensajes alarmistas, llamadas que suenan muy oficiales, correos electrónicos con apariencia legítima o páginas web casi idénticas a las de Apple son el punto de entrada a muchas de estas estafas. El usuario piensa que está hablando con su banco o con el soporte de Apple y, en realidad, está entregando la llave de su dinero.
Este tipo de engaños no afecta solo a Apple Pay: Google Pay y otros monederos digitales sufren tácticas similares. ESET ha advertido incluso de un fuerte aumento del malware que aprovecha la tecnología NFC en Android, lo que demuestra que todo el sector de pagos sin contacto está en el radar del cibercrimen.
Las estafas con Apple Pay más habituales
Los analistas de seguridad coinciden en que la mayoría de fraudes relacionados con Apple Pay encajan en seis grandes categorías. En casi todas, el objetivo final es el mismo: hacerse con tu dinero, con tu ID de Apple o con los códigos de verificación que permiten controlar tus tarjetas.
Phishing que se hace pasar por Apple o por tu banco
El método estrella sigue siendo el phishing. El usuario recibe un SMS, una llamada o un correo que simula ser de Apple, de su banco o de un servicio oficial. El gancho puede variar: un supuesto premio, un reembolso pendiente, un aviso de que han bloqueado tu Apple Pay, un problema al añadir tu tarjeta a la cartera, etc.
El mensaje incluye enlaces que llevan a páginas falsas muy parecidas a las oficiales, donde se piden datos personales, números de tarjeta, credenciales de banca online o el ID de Apple y su contraseña. En algunos casos, el estafador introduce en tiempo real esos datos en su propio dispositivo y intenta añadir la tarjeta a su Apple Pay.
Cuando el banco envía la contraseña de un solo uso o código 2FA para confirmar el alta de la tarjeta, la web fraudulenta lo solicita de inmediato. Si la víctima lo introduce pensando que está verificando un problema de seguridad, permite que el delincuente vincule la tarjeta a su monedero digital y comience a gastar a su nombre.
Timadores en plataformas de compraventa
Este falso comprador utiliza tarjetas robadas que ha asociado previamente a Apple Pay para pagar el artículo. El vendedor ve el cargo como correcto y envía el producto con normalidad. Días después, el titular real de la tarjeta detecta el uso fraudulento y reclama al banco, que inicia el proceso de devolución de cargo.
El resultado es que el vendedor se queda sin el producto y sin el dinero. La entidad financiera revierte el pago, y el estafador ya ha recibido el artículo sin dejar apenas rastro útil para recuperarlo, sobre todo si ha utilizado intermediarios o direcciones de entrega falsas.
Pagos en exceso y devoluciones tramposas
Otro timo bastante extendido gira en torno al llamado pago en exceso. El estafador contacta con la víctima porque está interesando en un artículo que vende en Internet y, tras acordar un precio, envía más dinero del pactado, supuestamente «por error».
Inmediatamente después pide que se le devuelva la diferencia a través de Apple Cash (servicio disponible en algunos países), por una app de dinero entre particulares o mediante tarjeta regalo. La jugada real es que el pago original se hizo con una tarjeta robada: cuando ese cargo se anula, la víctima no solo pierde el producto, sino también el importe que devolvió «de más».
Pagos no solicitados que terminan en lío
Relacionado con el esquema anterior está el fraude de pago no solicitado. En este caso, alguien te envía dinero de la nada a través de Apple Pay, sin que hayas vendido nada ni esperado ningún ingreso.
Al poco tiempo, esa persona —o alguien que dice serla— contacta contigo para pedir que le devuelvas el pago, alegando que se equivocó de destinatario o que tuvo un problema con la app. Suele insistir en que lo hagas por otra vía: Apple Cash, otra aplicación de pagos o tarjetas regalo.
Cuando el titular legítimo de la tarjeta usada para ese primer ingreso denuncia el cargo, el banco revierte el pago original. El resultado es que te ves obligado a devolver ese importe y, además, ya has enviado la «devolución» al estafador, de modo que acabas asumiendo la pérdida completa.
Recibos falsos y dinero inexistente
Un clásico de los fraudes en Internet es el recibo falso. Aquí, el timador asegura que ha pagado el producto mediante Apple Pay y envía una captura de pantalla que supuestamente demuestra la operación: aparece el importe, la fecha y un mensaje indicando que el dinero está «pendiente» o retenido en una especie de custodia.
La historia suele incluir que los fondos se liberarán cuando se envíe el pedido y se comparta el número de seguimiento. Todo suena razonable, pero hay un detalle clave: Apple Pay no ofrece un sistema de pago en custodia. Si el dinero no aparece abonado en tu cuenta o en tu extracto real, es que el pago no existe, por muy convincente que parezca la imagen.
Redes Wi‑Fi públicas y portales de Apple falsos
Otra vía de ataque se basa en las redes Wi‑Fi abiertas que encontramos en cafeterías, hoteles, aeropuertos o centros comerciales. Los ciberdelincuentes pueden montar un punto de acceso «gemelo malvado», que imita el nombre de la red legítima (por ejemplo, «Aeropuerto_Free» en lugar de «Aeropuerto Free»).
Si nos conectamos a esa red falsa, el atacante puede interceptar parte del tráfico y redirigirnos a páginas que imitan los portales de inicio de sesión de Apple. El objetivo es capturar el ID de Apple y la contraseña, y en algunos casos también datos bancarios o de Apple Cash.
Con esas credenciales en la mano, el estafador puede intentar apoderarse del saldo de la billetera digital, hacer compras, añadir nuevas tarjetas o incluso bloquear el acceso a la cuenta al propio usuario legítimo, complicando la recuperación del control.
Banderas rojas: cómo detectar que algo no cuadra
La mayoría de estas estafas con Apple Pay comparten una serie de señales de alarma muy claras que conviene tener siempre presentes. Reconocerlas a tiempo suele marcar la diferencia entre perder dinero o cortar el engaño a la primera.
Una de las más habituales es el uso de la urgencia extrema. Mensajes o llamadas que presionan para que confirmes tu cuenta, facilites datos confidenciales o devuelvas un pago de inmediato, bajo amenaza de bloqueo o pérdida de fondos, son un síntoma clásico de ingeniería social.
Otra bandera roja evidente es cualquier petición de tus códigos 2FA, contraseñas, PIN de la tarjeta o datos completos de tu banca online. Ni Apple ni tu banco te pedirán jamás por teléfono, SMS, correo o mensajería que leas en voz alta un código de verificación o que lo introduzcas en una web que no sea la oficial.
También debe disparar las alarmas que alguien te pida devolver parte o todo un pago recibido utilizando un método distinto al original (tarjetas regalo, otras apps de pago, criptomonedas, etc.), o que te insistan en que envíes un producto solo con un pantallazo de supuesto pago, sin que el dinero figure efectivamente en tu cuenta.
Por último, es muy sospechoso cualquier contacto no solicitado en el que alguien diga hablar en nombre de Apple, de tu banco o de un organismo público y te pida datos financieros o de acceso. En caso de duda, es preferible colgar y llamar tú directamente al número oficial de atención al cliente.
Medidas para usar Apple Pay (y otras billeteras) con más seguridad
Los especialistas en ciberseguridad insisten en que, pese al aumento de fraudes, proteger tu iPhone al usar Apple Pay no es tan complicado si se aplican una serie de precauciones básicas y se mantiene cierta desconfianza saludable ante lo inesperado.
Una de las primeras recomendaciones es activar la protección contra dispositivos robados en los ajustes del iPhone. Esta función obliga a utilizar Face ID o Touch ID para realizar cambios sensibles, como modificar contraseñas, desactivar ciertas opciones de seguridad o ajustar parámetros clave de Apple Pay.
También conviene asegurarse de que todas las tarjetas añadidas a la cartera digital tienen ajustes que deberías activar y notificaciones de pago activadas. Así, cualquier cargo se refleja de inmediato en el móvil, lo que permite reaccionar con rapidez si se detecta un movimiento extraño o no reconocido.
Para compras en Internet, los expertos proponen priorizar el uso de tarjetas que permitan devolución de cargo (chargeback). De esta forma, si el vendedor resulta ser un estafador, existe la posibilidad de reclamar formalmente al banco y recuperar el importe, siempre que se actúe dentro de los plazos establecidos.
En lo que respecta a la conexión, es aconsejable evitar en lo posible el uso de redes Wi‑Fi públicas para operaciones sensibles y, si no hay alternativa, utilizar una VPN de confianza que cifre la comunicación. Algunos proveedores de seguridad incluyen además servicios adicionales, como vigilancia de datos personales o monitorización de la web oscura.
Por último, mantener los dispositivos y aplicaciones siempre actualizados y repasar de vez en cuando las principales estafas conocidas ayuda a no caer en trampas que se repiten con diferentes disfraces. Como recuerdan desde ESET, la memoria también forma parte de nuestra protección.
Qué hacer si sospechas que te han estafado con Apple Pay
Cuando se tiene la impresión de haber caído en una estafa relacionada con Apple Pay, el factor tiempo es fundamental. Cuanto antes se actúe, más opciones hay de limitar el daño e incluso de bloquear algunas operaciones.
El primer paso suele ser revisar la aplicación de la cartera y, si es posible, cancelar el pago directamente desde el dispositivo. Si no se puede anular desde el móvil, hay que contactar sin demora con el banco emisor de la tarjeta para informar del fraude, solicitar el bloqueo de la tarjeta afectada y pedir la emisión de una nueva.
En paralelo, si se han compartido el ID de Apple, contraseñas o códigos de verificación, es imprescindible restablecer la configuración de privacidad y seguridad. También puede ser recomendable cerrar sesión en todos los dispositivos vinculados y revisar qué equipos tienen acceso a la cuenta.
En el ámbito europeo, además de la entidad financiera, es posible denunciar el fraude ante las autoridades competentes a través de los canales habilitados por Europol o por los organismos nacionales de ciberseguridad y consumo. Aunque no siempre se consigue recuperar el dinero, estas denuncias ayudan a perseguir a las redes que hay detrás.
En un contexto en el que los monederos digitales facilitan la vida cotidiana, conviene tener presente que esa misma agilidad puede jugar en contra cuando se combina con prisas y despistes: pararse unos segundos a desconfiar, comprobar quién está al otro lado y revisar bien los mensajes se ha convertido en una de las mejores defensas frente a las estafas que rodean a Apple Pay.
