Apple Pay, según estimaciones, cuenta con cientos de millones de usuarios en todo el mundo y procesó billones de pagos solo en 2025. En este contexto, desde ESET, compañía líder en detección proactiva de amenazas, advierten que donde hay dinero que ganar, los estafadores no se quedan atrás y comparten las seis principales estafas dirigidas a usuarios de Apple Pay.
“Apple es conocida por diseñar ecosistemas digitales pensando en la seguridad y la privacidad. Por ejemplo, Apple Pay utiliza autenticación biométrica (Face ID) para autorizar los pagos. Además, cuenta con medidas como la tokenización, para que los hackers no puedan robar los datos de la tarjeta directamente del dispositivo o la cartera y las compras permanezcan protegidas. Sin embargo, la plataforma y su sólida reputación aún pueden ser utilizadas para estafas, usualmente ‘pirateando’ al propietario del dispositivo o la cartera”, comenta Mario Micucci, investigador de Seguridad Informática de ESET.
Los usuarios de Google Pay también deben tomar nota, según ESET, ya que las estafas habituales buscan principalmente manipular el comportamiento del usuario, en lugar de aprovechar brechas tecnológicas. Además, la tecnología de comunicación de campo cercano (NFC), base de los servicios de pago móvil, está cada vez más en el punto de mira: el equipo de investigación de ESET ha descubierto que las detecciones de malware para Android que utiliza NFC casi se duplicaron entre el primer y el segundo semestre de 2025.
ESET destaca que los estafadores de Apple Pay suelen ir detrás de información financiera, dinero o del ID de Apple y los códigos de inicio de sesión y autenticación de dos factores (2FA). Estos son los tipos de fraude más comunes:
Phishing: Se recibe un mensaje de texto, una llamada telefónica o un correo electrónico en el que se indica que es necesario verificar datos. El señuelo puede ser un premio que se debe reclamar o un reembolso pendiente. También puede tratarse de una historia falsa sobre la suspensión de una cuenta de Apple Pay, la inclusión de una tarjeta en la cartera u otros pretextos similares. Al hacer clic en los enlaces, normalmente se redirige a un sitio de phishing donde se solicita información bancaria o de tarjetas. Lo mismo ocurre con los mensajes de texto de suplantación de identidad en los que se pide hacer clic en un enlace o llamar a un número telefónico.
En algunos casos, el estafador puede recopilar los datos en tiempo real y añadirlos a su propio monedero de Apple Pay. Si esto ocurre, el banco enviará una contraseña de un solo uso para confirmar la nueva configuración. El sitio de phishing solicita instantáneamente este código. Si se introduce, el estafador tendrá los datos de la tarjeta añadidos a su cartera.
Mercado: Un comprador falso vincula tarjetas robadas a una cuenta de Apple Pay y las utiliza para comprar un artículo —normalmente de alto valor— que está vendiendo la posible víctima en un mercado digital. Cuando el titular legítimo de la tarjeta se da cuenta de lo ocurrido, reclama los cargos a su banco, que ordena el reembolso. Para ese momento, la víctima ya habrá enviado el artículo al estafador.
Pago en exceso: Un estafador envía un mensaje sobre un artículo que está a la venta en un mercado digital. Realiza el pago, pero envía más dinero del debido. Luego solicita la devolución de la diferencia, utilizando Apple Cash (el servicio peer-to-peer disponible para clientes de Apple Pay en Estados Unidos) u otra aplicación de transferencia de dinero, como Venmo o Zelle. En realidad, el comprador utilizó una tarjeta robada, lo que significa que la víctima pierde el producto, el pago original y el importe del reembolso.
Pago no solicitado: Similar a la estafa anterior, pero en este caso se recibe un pago inesperado de alguien que utiliza Apple Pay. Posteriormente, la persona solicita que se le devuelva el dinero a través de Apple Cash o mediante una tarjeta de regalo. Al final, la víctima deberá devolver el importe original al propietario legítimo de la tarjeta utilizada por el estafador y, además, cubrir el monto de la devolución.
Recibo falso: Los estafadores aceptan comprar un artículo que se ofrece en línea y envían una captura de pantalla que supuestamente muestra el pago realizado a través de Apple Pay. Alegan que el dinero está pendiente o en “custodia” hasta que se envíe el producto y se proporcione un número de seguimiento. En realidad, nunca se ha realizado el pago, ya que Apple Pay no retiene fondos en custodia.
Wi-Fi público: Los hackers pueden instalar un punto de acceso conocido como “gemelo malvado” en lugares públicos, como cafeterías o aeropuertos, que imita una red Wi-Fi legítima. A través de este método, controlan el tráfico hacia y desde el dispositivo de la víctima y pueden redirigirla a un portal falso de Apple para obtener el ID de Apple y la contraseña. En algunos casos, estos datos pueden ser utilizados para intentar quedarse con el saldo de Apple Cash.
Si se detecta alguna de las siguientes señales, ESET advierte que un estafador puede haberse puesto en contacto:
-
Un mensaje de texto, correo electrónico o llamada telefónica que utilice la urgencia para presionar a tomar una decisión imprudente, como compartir datos de acceso o información financiera con alguien desconocido. Esta es una técnica clásica de ingeniería social.
-
Una solicitud de códigos 2FA, lo que permitiría al estafador secuestrar la cuenta de Apple o añadir la tarjeta a su cartera. Ni Apple ni los bancos solicitan este tipo de códigos.
-
Una petición para devolver parte o la totalidad de un pago que se acaba de recibir a través de Apple Pay, especialmente si se solicita hacerlo mediante otro método, como una tarjeta de regalo o Apple Cash.
-
Una solicitud para enviar artículos antes de haber recibido el pago, acompañada de una captura de pantalla que afirma que el comprador ya ha pagado.
-
Cualquier mensaje, llamada o correo electrónico no solicitado en el que la persona afirme trabajar para Apple o un banco y solicite información personal, financiera o credenciales de acceso.
“Las estafas relacionadas con Apple Pay pueden parecer desconcertantemente generalizadas, pero mantener la información personal, el dinero y las cuentas a salvo no es tan difícil como podría pensarse. En primer lugar, es importante reconocer las señales de alerta y los fraudes más comunes. Conviene revisar periódicamente esta información para refrescar la memoria y actualizar los conocimientos a medida que estas estafas evolucionan”, recomienda Micucci, de ESET.
A continuación, ESET recomienda considerar las siguientes medidas:
-
Activar la protección contra dispositivos robados para garantizar que los cambios sensibles requieran Face ID. Ruta: Ajustes > Face ID y contraseña > Protección de dispositivos robados.
-
Activar “Permitir notificaciones” para todas las tarjetas de la cartera de Apple Pay, de modo que se reciba una alerta en cuanto se realice un pago.
-
Al comprar un artículo en línea, utilizar únicamente tarjetas vinculadas a Apple Pay que permitan devoluciones de cargo, en caso de que el vendedor resulte ser un estafador.
-
Si se utiliza una red Wi-Fi pública, asegurarse de emplear una red privada virtual (VPN) para mantener la conexión segura y evitar la interceptación de datos.
-
Considerar el uso de una VPN proporcionada por un proveedor de ciberseguridad de confianza, que también puede incluir otros servicios para mantener a los usuarios de iOS seguros en línea, como protección de identidad y escaneo de la web oscura.
“En caso de creer haber sido víctima de una estafa con Apple Pay, el tiempo es esencial. Es posible cancelar un pago desde la aplicación de Apple Pay o comunicándose con el banco. Si se han compartido involuntariamente el ID de Apple, credenciales de acceso o información de la tarjeta, se deben cambiar las contraseñas de inmediato y contactar al banco para cancelar y reemitir las tarjetas. Los monederos digitales facilitan la vida, pero también pueden hacer más rápido caer en el fraude. Por eso, vale la pena detenerse un momento y pensar antes de comprar, vender o responder mensajes en línea”, concluye Mario Micucci, de ESET Latinoamérica.
