Alerta Apple Pay: Los 6 fraudes que todo usuario de iPhone debe saber

En un mundo cada vez más digitalizado, donde la comodidad de pagar con un toque se ha convertido en la norma, plataformas como Apple Pay experimentaron un crecimiento meteórico. Con cientos de millones de usuarios a nivel global y un volumen de transacciones que ya se mide en billones, este servicio de pagos móviles se consolidó como un pilar de la economía digital.

Sin embargo, según advirtió Eset, una compañía especializada en detección proactiva de amenazas, la masividad del dinero digital es un imán para los ciberdelincuentes. Donde hay una oportunidad de ganancia, los estafadores no se quedan atrás.

La reputación de Apple, labrada sobre la promesa de ecosistemas seguros y privados, es sólida. Apple Pay utiliza tecnologías como la autenticación biométrica (Face ID), para autorizar cada pago, y la tokenización, que impide a los atacantes robar directamente los datos de la tarjeta desde el dispositivo o la billetera digital. No obstante, la plataforma no es infalible si el eslabón más débil, el usuario, es manipulado.

"La plataforma y su sólida reputación aún pueden ser utilizadas para estafas, usualmente 'pirateando' al propietario del dispositivo/cartera", explicó Mario Micucci, investigador de seguridad informática de Eset.

Esta advertencia es crucial para el usuario argentino, acostumbrado a adoptar rápidamente las nuevas tecnologías de pago pero, a menudo, menos consciente de los riesgos de ingeniería social que las acompañan.

Las estafas más habituales, según Eset, no buscan explotar una brecha técnica en el sistema de Apple, sino manipular la conducta del usuario para que entregue, voluntariamente o por engaño, la información sensible.

De hecho, la expansión de la tecnología de comunicación de campo cercano (NFC, sigla en inglés), la base de los pagos móviles, atrae la atención de los criminales. Eset observó que las detecciones de malware para Android que utiliza NFC casi se duplicaron en 2025, lo que subraya la creciente amenaza en todo el ecosistema de pagos sin contacto.

El botín del cibercrimen: Dinero, datos e identidad

Los estafadores que se centran en Apple Pay tienen objetivos claros: obtener información financiera (datos de tarjetas o cuentas), el dinero en sí mismo, o los códigos de inicio de sesión y de autenticación de dos factores (2FA) para secuestrar la ID de Apple del usuario.

A continuación, un análisis detallado de las seis principales estafas dirigidas a usuarios de Apple Pay, un mapa de riesgos elaborado por Eset, junto con las estrategias de defensa.

1. Phishing: El señuelo digital

El phishing es la estafa más clásica, pero sigue siendo la más efectiva y la que mejor se adapta a cualquier contexto, incluido Apple Pay. El método consiste en la suplantación de identidad para engañar al usuario y robar sus credenciales.

¿Cómo funciona? El usuario recibe un mensaje (texto, correo electrónico o, incluso, una llamada telefónica) que apela a la urgencia o a un beneficio. El señuelo puede ser:

• Verificación de datos obligatoria: Le dicen que debe "verificar" su cuenta de Apple Pay o sus datos bancarios para evitar la suspensión del servicio.
• Premio o reembolso falso: Le notifican que ha ganado un premio o que tiene un reembolso pendiente que debe reclamar inmediatamente.
• Aviso de seguridad fraudulento: Le informan falsamente sobre un intento de inclusión de su tarjeta en Apple Pay por parte de un tercero o la suspensión de su cuenta.

Al hacer clic en el enlace malicioso, la víctima es dirigida a un sitio web que imita a la perfección la interfaz de Apple o de su banco. Allí, se le pide que ingrese sus datos de cuenta bancaria, número de tarjeta o, crucialmente, los códigos de un solo uso.

La trampa del código de un solo uso

En una variante particularmente peligrosa, el estafador recopila los datos robados en tiempo real e intenta añadir la tarjeta a su propio monedero de Apple Pay. El banco de la víctima, al detectar una nueva configuración, enviará una contraseña de un solo uso (OTP) al teléfono del titular legítimo para confirmar la acción.

El sitio de phishing inmediatamente solicita este código de validación. Si el usuario, bajo la presión del engaño, introduce el OTP, el estafador logra añadir la tarjeta a su monedero digital y tiene acceso para realizar compras.

2. El comprador con tarjetas robadas

¿Cómo funciona? Un estafador se hace pasar por un comprador interesado en un artículo, generalmente de alto valor (un celular, una consola, un electrodoméstico). El estafador utiliza tarjetas de crédito robadas y las asocia a su cuenta de Apple Pay para realizar el pago al vendedor.

El vendedor recibe el pago y, confiado, despacha el artículo. Poco tiempo después, el titular legítimo de la tarjeta robada (la verdadera víctima) se da cuenta del cargo y lo reclama a su banco. El banco inicia el proceso de devolución de cargo (chargeback) y la orden de reembolsar el dinero recae sobre el vendedor que recibió el pago. Para ese momento, el estafador ya se habrá quedado con el producto y el vendedor habrá perdido el artículo y el dinero de la venta.

3. Pago en exceso: La devolución que cuesta doble

Esta técnica es una forma de ingeniería social que explota la honestidad y la rapidez del vendedor. ¿Cómo funciona? El estafador contacta a la víctima por un artículo en venta en un mercado digital. Realiza el pago a través de Apple Pay, pero envía una suma de dinero significativamente mayor a la acordada. Inmediatamente, se comunica con la víctima, alegando haber cometido un "error" en la transferencia y solicita que se le devuelva la diferencia.

La devolución es solicitada a través de otro servicio de pagos peer-to-peer (P2P) como Apple Cash, Venmo o Zelle o una aplicación de transferencia local, o incluso mediante una transferencia bancaria común.

El problema reside en el pago original. Este fue realizado con una tarjeta robada o una cuenta comprometida. Cuando el titular legítimo reclama su dinero, se activa el chargeback. La víctima no solo pierde el producto (si ya lo envió) y el pago original (que será reversado), sino que también perdió el monto que devolvió al estafador. Es un doble perjuicio financiero.

4. Pago no solicitado: El regalo envenenado

Similar a la estafa anterior, pero con una ejecución más directa y sorpresiva. ¿Cómo funciona? La víctima recibe una transferencia de dinero de la nada a través de Apple Pay o una aplicación de pago P2P asociada.

Acto seguido, alguien se pone en contacto, alegando que se trata de un pago erróneo. Solicitan que se les devuelva el dinero a través de otro método, como Apple Cash, una transferencia a otra cuenta o, incluso, una tarjeta regalo (Gift Card), para evitar supuestos "problemas" con la transacción original.

Como en el caso del "pago en exceso", el dinero inicial proviene de una fuente ilegítima (una tarjeta robada). Cuando el titular real lo reclama, el banco reversa el pago original. La víctima debe devolver ese importe al propietario legítimo, pero además, ya ha desembolsado el monto que le transfirió al estafador por el "error", quedándose con una pérdida neta.

5. Recibo falso: La prueba de pago de fantasía

Esta estafa ataca directamente la credulidad del vendedor ante la urgencia de concretar una transacción. ¿Cómo funciona? El estafador acuerda la compra de un artículo online y, para presionar al vendedor, envía una captura de pantalla falsa que supuestamente prueba que ya ha realizado el pago a través de Apple Pay.

Pueden alegar que el dinero está en estado "pendiente" o "en custodia" por parte de Apple Pay hasta que el vendedor envíe el producto y proporcione un número de seguimiento. Esta es la clave del engaño: Apple Pay no retiene fondos "en custodia". El estafador nunca realizó el pago. Al confiar en la imagen falsa, el vendedor envía el producto y pierde el artículo.

6. Wi-Fi público: El "gemelo malvado" en la cafetería

Aunque se relaciona más con el robo de credenciales de Apple ID, esta táctica es una puerta de entrada para estafas de Apple Pay, especialmente si la víctima utiliza Apple Cash. ¿Cómo funciona? Los hackers configuran un punto de acceso Wi-Fi que simula ser una red legítima y gratuita en un lugar público concurrido (un aeropuerto, una cafetería, un espacio de trabajo colaborativo). Esta red se conoce como "gemelo malvado" (evil twin).

Cuando la víctima se conecta, el atacante puede monitorear su tráfico de red y, en algunos casos, redirigirla a un portal web falso de Apple que solicita ingresar el ID de Apple y la contraseña, supuestamente para "aceptar los términos" o "validar la conexión". Con estas credenciales, los estafadores pueden intentar secuestrar la cuenta y acceder al saldo de Apple Cash del usuario o utilizar la identidad de Apple para otros fines fraudulentos.

Señales de alarma: Cuándo se encendió la luz roja

Eset proporcionó una lista de indicadores que deberían generar una alerta inmediata en cualquier usuario, especialmente en la Argentina, donde la ingeniería social es una herramienta predilecta del cibercrimen. Si se detecta alguna de las siguientes señales, es muy probable que un estafador esté intentando contactarse:

• Urgencia y presión: Un mensaje de texto, correo electrónico o llamado que utiliza un tono de urgencia para forzar una decisión imprudente, como compartir datos de acceso o información financiera. Esta es la técnica base de la ingeniería social.
• Solicitud de códigos 2FA: Ni Apple ni tu banco le pedirán nunca sus códigos de autenticación de dos factores (2FA) u OTP (Contraseñas de un solo uso). Si alguien lo hace, es un estafador que busca secuestrar su cuenta o añadir su tarjeta a su propio monedero digital.
• Devolución de pagos recibidos: Cualquier petición para devolver una parte o la totalidad de un pago que acaba de recibir a través de Apple Pay. La alarma debe sonar más fuerte si piden que lo devuelva a través de un método diferente al original, como una tarjeta regalo o una aplicación P2P distinta.
• Presión para el envío sin confirmación real: Una petición para enviar artículos antes de haber confirmado que el pago se liquidó en su cuenta, incluso si el supuesto comprador muestra una captura de pantalla de un "recibo" (falso) o alega que el dinero está "en custodia".
• Contacto no solicitado con solicitud de información sensible: Cualquier contacto no solicitado (llamada, SMS o correo) donde la persona que se comunica dice ser de Apple o de su banco y le pide información personal, financiera o de acceso confidencial.

El escudo del usuario: Estrategias de defensa

Micucci indicó que "las estafas relacionadas con Apple Pay pueden parecer desconcertantemente generalizadas, pero mantener la información personal, dinero y cuentas a salvo y seguras no es tan difícil como podrías pensar. En primer lugar, tomáte un momento para reconocer las banderas rojas y las estafas más comunes de Apple Pay".

Para fortalecer la seguridad de su billetera digital y su dispositivo, Eset recomendó las siguientes medidas prácticas, que deben ser consideradas por todo usuario:

Activá la protección contra dispositivos robados

Esta función es vital para el usuario de iPhone. Garantiza que cualquier cambio sensible en la configuración de seguridad (como cambiar la contraseña del ID de Apple o desactivar Face ID/Touch ID) requiera no solo la autenticación biométrica, sino también un retardo de seguridad cuando el dispositivo no se encuentra en una ubicación familiar. (Ruta: Ajustes > Face ID y contraseña > Protección de dispositivos robados).

Activá notificaciones de pago

Aseguráte de tener activada la opción "permitir notificaciones" para todas las tarjetas de tu cartera de Apple Pay. Esto garantiza que reciba una alerta inmediata en cuanto se realice un pago, permitiendo una reacción rápida ante una transacción fraudulenta.

Uso de tarjetas con protección de contracargo

Si vas a comprar un artículo en línea a un vendedor desconocido, utilizá solo tarjetas en su Apple Pay que permitan devoluciones de cargo (chargebacks), de modo que puedas reclamar su dinero si el vendedor resulta ser un estafador.

VPN en Wi-Fi públicas

La amenaza del "gemelo malvado" se neutraliza fácilmente con una red privada virtual (VPN). Al utilizar una VPN de un proveedor confiable, se cifra toda la conexión de su dispositivo, evitando que los hackers intercepten sus datos o lo redirijan a portales de phishing.

"En caso de creer haber sido víctima de una estafa con Apple Pay, el tiempo es esencial. Es posible que puedas cancelar un pago haciendo clic en la aplicación Apple Pay o poniéndote en contacto con tu banco. Si compartiste involuntariamente tu ID de Apple, tus datos de acceso o la información de tu tarjeta, cambia inmediatamente tus contraseñas y ponte en contacto con tu banco para que cancelen y vuelvan a emitir tus tarjetas," concluyó Micucci.

La facilidad y rapidez de los monederos digitales son una ventaja innegable. Sin embargo, como advirtió el experto de Eset Latinoamérica, "también hacen que sea más rápido y fácil caer en el fraude. Merece la pena detenerse y pensar un segundo al comprar, vender y revisar mensajes en línea". La mejor defensa sigue siendo el pensamiento crítico y la desconfianza ante ofertas demasiado buenas o solicitudes urgentes de información sensible.