ESET Research ha identificado una campaña activa en España dirigida a usuarios de Android que combina el envío de mensajes fraudulentos, la distribución de aplicaciones falsas y el uso de la tecnología NFC del móvil para obtener información bancaria. El objetivo es recopilar los datos necesarios de las tarjetas para replicarlas y realizar pagos contactless desde dispositivos controlados por los atacantes.
El fraude comienza con la distribución de una aplicación maliciosa que se presenta como una herramienta de seguridad, con nombres como “Seguridad NFC – Bloqueador de Cargos”. Esta app se promociona a través de páginas web que imitan a Google Play para reforzar su apariencia legítima. Una vez instalada, muestra mensajes engañosos, solicita acciones al usuario y envía la información recopilada a la infraestructura de los ciberdelincuentes.
La campaña también recurre a la suplantación de marcas conocidas, tanto del sector financiero como de otros ámbitos, para aumentar la credibilidad del engaño.
NFC en el punto de mira
El elemento clave del ataque es el uso del NFC, una tecnología ampliamente utilizada en pagos móviles. A partir de un mensaje o aviso falso sobre un posible problema de seguridad o un cargo sospechoso, se induce al usuario a descargar la aplicación. Posteriormente, la app solicita acercar la tarjeta al teléfono para una supuesta verificación e incluso introducir el PIN. En realidad, este proceso permite a los atacantes capturar los datos de la tarjeta y utilizarlos para realizar pagos fraudulentos.
Según explica Josep Albors, director de investigación y concienciación de ESET España, el riesgo de esta campaña radica en que se apoya en una tecnología cotidiana para construir un engaño convincente, en el que el usuario cree estar protegiendo su cuenta cuando en realidad está facilitando información crítica.
Los investigadores relacionan esta actividad con campañas previas asociadas a la infraestructura conocida como Devil NFC, utilizada desde principios de 2026 para lanzar ataques dirigidos a usuarios hispanohablantes. A lo largo del tiempo, los ciberdelincuentes han ido modificando tanto las aplicaciones como las marcas suplantadas para aumentar la efectividad del fraude.
Este tipo de ataques supone una evolución respecto a fraudes móviles más tradicionales, ya que no se limita al robo de credenciales, sino que busca acceder directamente a los datos de la tarjeta física. El impacto potencial es, por tanto, más inmediato sobre el usuario, al permitir la realización de pagos no autorizados.
ESET recomienda desconfiar de mensajes alarmistas, evitar la instalación de aplicaciones desde enlaces externos, verificar siempre el origen de las apps y no introducir datos sensibles ni acercar la tarjeta al móvil ante solicitudes no verificadas. Ante cualquier duda, aconseja contactar directamente con la entidad bancaria a través de sus canales oficiales.
