Cada vez más personas pagan con el móvil y, en particular, con iPhone. Entre quienes lo usan a diario, Apple Pay se ha convertido en una herramienta tan cotidiana como sacar la tarjeta del bolsillo, ya sea para comprar en tiendas físicas o hacer pedidos por Internet. Esa normalidad tiene una cara menos amable: cuando un sistema de pago se hace masivo, también se vuelve un objetivo muy apetecible para los estafadores.
En los últimos tiempos se ha detectado un aumento notable de fraudes mediante Apple Pay en distintos países, y las técnicas que emplean los ciberdelincuentes son cada vez más refinadas. Desde mensajes que se hacen pasar por el banco o por Apple hasta webs casi idénticas a las oficiales, todo está pensado para que el usuario baje la guardia un segundo, revele sus datos, como los expuestos en una base de datos, y el delincuente pueda vincular tarjetas, realizar cargos no autorizados o tomar el control completo de la cuenta.
Por qué Apple Pay se ha convertido en un blanco tan jugoso
El auge de los pagos móviles ha transformado la forma en la que movemos nuestro dinero: pagos instantáneos, sin contacto y desde cualquier lugar. Esa comodidad, sin embargo, también abre la puerta a que los delincuentes intenten aprovechar cualquier descuido. Apple Pay, como una de las plataformas de pago más extendidas en el mundo, se ha colocado en el centro de este escenario.
Las autoridades y cuerpos especializados en ciberseguridad vienen advirtiendo de que la confianza ciega en la tecnología, combinada con la rapidez de las operaciones, es el caldo de cultivo perfecto para que funcionen estas estafas. Muchos usuarios dan por sentado que, si el móvil pide un código o una confirmación, todo es seguro, sin plantearse que quizá han llegado allí desde un enlace fraudulento.
La situación descrita por organismos de seguridad de distintos países encaja también con lo que se está observando en Europa y en España: los mismos patrones de engaño se repiten en entornos muy distintos, lo que indica que las bandas reutilizan tácticas con ligeras variaciones según el mercado y el idioma.
En paralelo, el aumento de plataformas de compraventa de segunda mano y tiendas online ha añadido otra capa de riesgo. En algunos casos, cuando consiguen los datos de una tarjeta asociada a Apple Pay, los delincuentes no solo hacen compras directas, sino que revenden productos o usan cuentas en apps de terceros, de forma que la víctima del fraude no siempre es la misma persona que ve el cargo en su banco.
Suplantación de identidad: cuando el estafador se hace pasar por Apple o tu banco
Uno de los métodos más extendidos es la suplantación de identidad, también conocida como spoofing. Este tipo de ataques se analiza en suplantación de identidad en iOS. El esquema es simple pero efectivo: el delincuente se presenta como un empleado del banco, del servicio de atención de Apple o incluso de una tienda conocida, y utiliza el miedo o la urgencia para que el usuario actúe sin pensar demasiado.
Las comunicaciones pueden llegar por SMS, correo electrónico o llamada telefónica. El mensaje suele avisar de supuestos cargos irregulares, bloqueos de cuenta o problemas de seguridad con Apple Pay. A partir de ahí, se pide al usuario que «verifique» sus datos o que confirme una operación para evitar un perjuicio mayor.
En este tipo de fraude, el objetivo es que la víctima facilite datos críticos: códigos de verificación, contraseñas, número de tarjeta o información personal. Con esa información, el estafador puede vincular la tarjeta a su propio dispositivo, autorizar pagos o modificar los datos de acceso de la cuenta.
Para hacerlo más creíble, muchos delincuentes emplean técnicas como la falsificación del identificador de llamada o del remitente del SMS, de modo que el número o el nombre que aparece en la pantalla coincide con el del banco o el de Apple. Esto complica la detección del engaño, especialmente para usuarios menos habituados a este tipo de amenazas.
En Europa y España, donde la normativa bancaria obliga a una fuerte autenticación del cliente, los delincuentes se centran precisamente en convencer al usuario de que entregue esos segundos factores de seguridad, presentándolos como meros pasos de verificación rutinarios.
Phishing y webs clonadas: el anzuelo perfecto para robar credenciales
Otra de las técnicas más habituales relacionadas con fraudes mediante Apple Pay es el phishing. En este caso, el contacto inicial llega generalmente por correo electrónico o SMS. El mensaje avisa de una compra sospechosa, un inicio de sesión extraño o un supuesto bloqueo de la cuenta de Apple o del banco, e incluye un enlace para «revisar» o «cancelar» la operación.
Al pulsar ese enlace, el usuario es dirigido a una página web que imita con gran fidelidad la apariencia del sitio oficial: logotipos, colores, diseño y, a veces, incluso certificados de seguridad que pueden despistar a quienes no revisan bien la dirección real del dominio.
En esas páginas falsas se solicitan datos como el Apple ID, la contraseña, los códigos de verificación enviados por SMS o notificación push, e incluso información bancaria adicional. Si la víctima introduce esta información, el delincuente puede acceder a la cuenta real en cuestión de minutos.
Un ejemplo típico es el mensaje que aparenta venir del banco, alertando de una compra realizada con Apple Pay y ofreciendo un enlace para «cancelar» la transacción. La sensación de urgencia juega aquí un papel clave: muchas personas, asustadas por la posibilidad de un cargo elevado, entran al enlace sin comprobar si la dirección es legítima.
Una vez dentro, el proceso se completa con total normalidad desde la perspectiva del usuario. Aunque la página muestre mensajes de éxito o confirmación, en realidad lo único que ha ocurrido es que los datos han ido a parar a manos de los estafadores, que aprovechan esa ventana de tiempo para tomar control de la cuenta y realizar operaciones fraudulentas antes de que la víctima pueda reaccionar.
Apps falsas, redes Wi‑Fi públicas y otros trucos para capturar datos
Más allá de los mensajes y las llamadas, los ciberdelincuentes también recurren a aplicaciones maliciosas y redes Wi‑Fi comprometidas para intentar obtener información relacionada con Apple Pay y otros métodos de pago móviles. Aquí el objetivo es que el propio dispositivo se convierta en la puerta de entrada.
En el caso de las apps falsas, suelen camuflarse como aplicaciones bancarias, herramientas de gestión financiera o supuestas utilidades para obtener descuentos o recompensas al pagar con el móvil. Algunas se descargan desde tiendas oficiales tras superar los controles de seguridad, mientras que otras circulan por canales alternativos menos seguros, y en ocasiones están relacionadas con amenazas como el nuevo malware en WhatsApp que roba información de los usuarios.
Una vez instaladas, estas aplicaciones pueden solicitar permisos excesivos o mostrar formularios en los que invitan al usuario a introducir credenciales, datos de tarjetas o información personal que, en realidad, se envía a los servidores del atacante. En determinados casos, el malware puede incluso intentar interceptar notificaciones o leer mensajes que contienen códigos de verificación.
Las redes Wi‑Fi públicas también representan un riesgo añadido. Cuando se conectan a puntos de acceso no protegidos o manipulados, los usuarios pueden estar enviando datos a través de una infraestructura controlada por los propios delincuentes. Aunque Apple Pay esté diseñado para funcionar con altos estándares de seguridad, el resto de servicios que rodean al pago (correo, SMS, acceso al banco) puede quedar expuesto.
En entornos como cafeterías, estaciones o aeropuertos, no es raro encontrar conexiones que parecen legítimas pero que, en realidad, han sido creadas para interceptar tráfico y credenciales de acceso. Por eso, las autoridades insisten en que, cuando se trata de operaciones financieras, es preferible usar la conexión de datos móvil o redes de confianza.
Compras con tarjetas robadas y fraudes en plataformas de segunda mano
Cuando los delincuentes consiguen acceder a una tarjeta asociada a Apple Pay o vincularla a su propio dispositivo, no siempre se limitan a hacer compras directas en comercios habituales. Una parte de estos fraudes se canaliza a través de plataformas de compraventa y tiendas en línea, donde el dinero y los productos cambian de manos con rapidez.
En escenarios de este tipo, los estafadores realizan pagos con la tarjeta comprometida en servicios de venta de segunda mano o marketplaces. Ellos reciben el producto de forma legítima, mientras que la persona titular de la tarjeta no se entera hasta que revisa su cuenta bancaria y detecta cargos que no reconoce; casos similares se han visto en operaciones donde la Guardia Civil desarticuló una trama dedicada a la venta fraudulenta.
Cuando la víctima denuncia y la entidad financiera revierte el pago, el vendedor honesto de la plataforma puede quedarse sin el dinero y sin el producto, ya que el artículo ya ha sido enviado y entregado. De esta forma, el fraude produce un efecto en cadena que afecta a varias personas.
Estas situaciones complican la reclamación, porque entran en juego contratos entre particulares, políticas de protección al comprador y al vendedor, y la actuación de la propia plataforma. No siempre es sencillo determinar quién asume la pérdida económica, lo que hace que este tipo de delitos sean especialmente dañinos.
Por eso se recomienda extremar la prudencia cuando un comprador propone métodos de pago poco habituales, excesiva prisa o condiciones demasiado ventajosas al cerrar una operación. Aunque el fraude no siempre esté vinculado directamente a Apple Pay, las tarjetas y cuentas asociadas al servicio pueden formar parte del esquema delictivo.
Cómo se puede minimizar el riesgo al usar Apple Pay
Pese a este panorama, hay margen para reducir significativamente la probabilidad de caer en un engaño. Las recomendaciones de unidades de policía cibernética y organismos de consumo se repiten con ligeras variaciones, pero todas giran alrededor de la misma idea: recuperar el control sobre la información que compartimos y sobre los canales que utilizamos.
Una regla básica es no compartir nunca códigos de verificación, contraseñas ni datos bancarios a través de llamadas, SMS o correos electrónicos, por mucho que el interlocutor asegure pertenecer a Apple o a una entidad financiera. Ninguna empresa seria pide este tipo de datos por esas vías.
También resulta esencial verificar cualquier movimiento sospechoso directamente desde la app oficial del banco o desde la configuración de Apple Pay, en lugar de seguir los enlaces que llegan por mensajes. Si existe un problema real, aparecerá igualmente al entrar por los canales habituales.
Otra capa importante de protección es la autenticación de dos factores y las notificaciones en tiempo real. El uso de llaves de seguridad para tu Apple ID proporciona una barrera adicional frente a accesos no autorizados y hace más difícil que los ataques basados en phishing tengan éxito.
Por último, aunque pueda parecer un detalle menor, merece la pena dedicar unos segundos extra a revisar la dirección exacta de las páginas web en las que introducimos credenciales, así como evitar acceder a servicios financieros desde redes Wi‑Fi públicas o desconocidas.
En conjunto, todo apunta a que el éxito de los fraudes mediante Apple Pay no se debe tanto a fallos técnicos del sistema como a la habilidad de los estafadores para explotar la confianza, las prisas y la falta de verificación de algunos usuarios. Mantener el sentido crítico, desconfiar de las comunicaciones inesperadas y apoyarse siempre en los canales oficiales sigue siendo la mejor forma de usar el móvil para pagar sin convertirlo en una puerta abierta a los delincuentes.
