Apple Pay, según estimaciones, cuenta con cientos de millones de usuarios en todo el mundo y procesó billones de pagos solo en 2025. En este contexto, desde ESET, compañía líder en detección proactiva de amenazas, advierten que donde hay dinero que ganar, los estafadores no se quedan atrás, y comparten las seis principales estafas dirigidas a usuarios de Apple Pay.
“Apple es conocida por diseñar ecosistemas digitales pensando en la seguridad y la privacidad. Por ejemplo, Apple Pay utiliza autenticación biométrica (es decir, Face ID) para autorizar los pagos. Además, cuenta con medidas como la tokenización, para que los hackers no puedan robar los datos de la tarjeta directamente del dispositivo/cartera y las compras permanezcan protegidas. Pero la plataforma y su sólida reputación aún pueden ser utilizadas para estafas, usualmente “pirateando” al propietario del dispositivo/cartera.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET.
Los usuarios de Google Pay también deben tomar nota, según ESET, ya que las estafas habituales buscan principalmente manipular el comportamiento del usuario, en lugar de aprovechar las brechas tecnológicas. Además, la tecnología de comunicación de campo cercano (NFC) que es la base de los servicios de pago móvil está cada vez más en el punto de mira: el equipo de investigación de ESET ha descubierto que las detecciones de malware para Android que utiliza NFC casi se duplicaron entre el primer y el segundo semestre de 2025.
ESET destaca que los estafadores de Apple Pay suelen ir detrás de información financiera, dinero o ID de Apple y los códigos de inicio de sesión/2FA. Estos son los tipos de fraude más comunes:
Phishing: Se recibe un mensaje de texto, una llamada telefónica o un correo electrónico en el que se dice que tiene que verificar los datos. El señuelo puede ser un premio que se tiene que reclamar o un reembolso que se le debe. O puede tratarse de una historia falsa sobre la suspensión de una cuenta de Apple Pay, la inclusión de la tarjeta en Apple Pay o pretextos similares. Al hacer clic en los enlaces, normalmente se le llevará a un sitio de phishing donde se le pedirá que proporcione los datos de la cuenta bancaria o tarjeta. Lo mismo ocurre con los mensajes de texto de suplantación de identidad en los que se pide hacer clic en un enlace o llamar a un número de teléfono.
En algunos casos, el estafador puede recopilar datos en tiempo real y añadirlos a su monedero de Apple Pay. Si esto ocurre, el banco le enviará una contraseña de un solo uso para confirmar la nueva configuración. El sitio de phishing solicita instantáneamente este código. Si se lo introduce, el estafador tendrá los datos de la tarjeta añadidos a su monedero.
Mercado: Un comprador falso conecta las tarjetas robadas a la cuenta de Apple Pay y las utiliza para comprar un artículo (normalmente de gran valor) que está vendiendo la posible víctima en un mercado digital. Cuando el titular legítimo de la tarjeta se entere de lo ocurrido, reclamará los cargos a su banco. Entonces se le ordenará que los reembolse. En ese momento, por supuesto, la víctima ya habrá enviado el artículo al estafador.
Pago en exceso: Un estafador envía un mensaje sobre un artículo que está a la venta en un mercado. Pagan pero envían demasiado dinero. Luego, piden que se le devuelva la diferencia, utilizando Apple Cash (el servicio peer-to-peer disponible para los clientes de Apple Pay en EE.UU.) u otra aplicación de dinero en efectivo (por ejemplo, Venmo, Zelle). Resulta que el comprador utilizó una tarjeta robada, lo que significa que se pierde el producto, el pago original que hicieron y el importe del reembolso.
Pago no solicitado: Similar a la estafa anterior, excepto que se recibe un pago de la nada de alguien que utiliza Apple Pay. Luego, piden que se lo devuelvan a través de Apple Cash o una tarjeta regalo. Una vez más, al final se tendrá que devolver el importe original al propietario legítimo de la tarjeta que utilizó el estafador. Y, por supuesto, se tendrá que desembolsar el importe de la devolución.
Recibo falso: Los estafadores aceptan comprar un artículo que se vende en Internet. Envían una captura de pantalla que muestra que han pagado a través de Apple Pay. Pueden alegar que el dinero está pendiente o en “custodia” hasta que se envíe el producto y se proporcione un número de seguimiento. En realidad, nunca han pagado: Apple Pay no retiene fondos en custodia.
Wi-Fi público: Los hackers pueden instalar un punto de acceso “gemelo malvado” en una zona pública, como una cafetería o un aeropuerto, que imite una red Wi-Fi pública legítima. Lo utilizan para controlar el tráfico hacia y desde su dispositivo, y pueden redirigirle a un portal de Apple falso para obtener un ID de Apple y contraseña. En algunos casos, estos datos pueden ser utilizados para intentar quedarse con el saldo de Apple Cash.
Si se detecta alguna de las siguientes señales, ESET alerta que un estafador puede haberse puesto en contacto:
- Un mensaje de texto, correo electrónico o llamado al teléfono que utiliza la urgencia para apresurarte a tomar una decisión imprudente, como compartir datos de acceso o información financiera con alguien que no se conoce. Se trata de una técnica clásica de ingeniería social.
- Una solicitud de los códigos 2FA, que permitirá al estafador secuestrar la cuenta de Apple y/o añadir la tarjeta a su cartera. Ni Apple ni el banco los pedirán nunca.
- Que pidan la devolución en parte o la totalidad de un pago que se acaba de recibir a través de Apple Pay debería ser una señal de alarma, al igual que si indican hacerlo a través de otro método, como una tarjeta regalo o Apple Cash.
- Una petición para enviar artículos antes de haber recibido el pago (acompañada de una captura de pantalla alegando que el comprador ya ha pagado).
- Cualquier mensaje de texto, llamada o correo electrónico no solicitado en el que la persona que llama o envía el mensaje diga que trabaja para Apple o un banco y solicite información personal, financiera o de acceso confidencial.
“Las estafas relacionadas con Apple Pay pueden parecer desconcertantemente generalizadas, pero mantener la información personal, dinero y cuentas a salvo y seguras no es tan difícil como podrías pensar. En primer lugar, tómate un momento para reconocer las banderas rojas y las estafas más comunes de Apple Pay. Sigue revisando de vez en cuando para refrescar tu memoria y actualizar tus conocimientos a medida que estas estafas evolucionan.”, recomienda Micucci de ESET.
A continuación, ESET recomienda considerar:
- Activar la protección contra dispositivos robados para garantizar que los cambios sensibles requieran Face ID. Ajustes > Face ID y contraseña > Protección de dispositivos robados
- Activar “permitir notificaciones” para todas las tarjetas de la cartera de Apple Pay, de modo que reciba una alerta en cuanto se realice un pago
- Si se compra un artículo en línea, utilizar solo las tarjetas de la cuenta de Apple Pay que permitan devoluciones de cargo, por si el vendedor es un estafador
- Si se utiliza una Wi-Fi pública, asegurarse de usar una red privada virtual(VPN) para que la conexión se mantenga segura y los datos no puedan ser interceptados.
- Considerar la posibilidad de utilizar una VPN proporcionada por un proveedor de ciberseguridad de confianza, que también puede incluir otros para mantener a los usuarios de iOS seguros en línea, incluida la protección de identidad que incluye el escaneo de la web oscura.
“En caso de creer haber sido víctima de una estafa con Apple Pay, el tiempo es esencial. Es posible que puedas cancelar un pago haciendo clic en la aplicación Apple Pay o poniéndote en contacto con tu banco. Si has compartido involuntariamente tu ID de Apple, tus datos de acceso o la información de tu tarjeta, cambia inmediatamente tus contraseñas y ponte en contacto con tu banco para que cancelen y vuelvan a emitir tus tarjetas. Los monederos digitales nos facilitan la vida. Pero también hacen que sea más rápido y fácil caer en el fraude. Merece la pena detenerse y pensar un segundo al comprar, vender y revisar mensajes en línea.”, concluye Mario Micucci de ESET Latinoamérica.
Desde ESET también recomienda, en caso de haber sido víctimas, denunciar el fraude a la Comisión Federal de Comercio (FTC) o, en Europa, a las autoridades competentes, a las que se puede acceder a través de Europol.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/estafas-enganos/usuarios-apple-pay-6-principales-estafas/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
