Bancos emiten recomendaciones y refuerzan la autenticación
Una investigación reciente identificó una modalidad de robo en cajeros automáticos que no requiere la tarjeta física del usuario y se apalanca en funciones de retiro sin plástico y pagos sin contacto. Delincuentes aprovechan cuentas comprometidas, ingeniería social y ataques de relevo NFC/QR para retirar efectivo en pocos minutos, dejando a la víctima sin rastros evidentes del plástico extraviado.
El esquema empieza con el secuestro de la cuenta (phishing, malware o SIM swap), continúa con el vinculado fraudulento del dispositivo del atacante a la banca móvil de la víctima y culmina en un retiro sin tarjeta en cajeros compatibles: basta un código QR, un token o un acercamiento NFC para autorizar la operación.
Expertos explican que los retornos sin tarjeta existen para facilitar emergencias y mejorar la experiencia digital. Sin embargo, cuando un tercero consigue acceso a la app móvil o logra interceptar la comunicación NFC con un ataque de “relay”, puede replicar las credenciales efímeras en otro equipo y retirar efectivo como si fuese el titular.
En un ataque de relevo NFC, dos dispositivos maliciosos “alargan” la corta distancia del NFC: uno se acerca al lector (cajero o terminal) y el otro, cerca del teléfono de la víctima, “transporta” la señal en tiempo real. Esta técnica, documentada por investigadores desde hace años, sigue vigente y se adapta a entornos bancarios y de retail.
Otra variante usa QR de retiro: el atacante inicia la operación en la cuenta comprometida, genera el código y lo escanea en el cajero para obtener el dinero. Como el plástico nunca se inserta, la víctima tarda en detectar el fraude. Bancos han respondido con tiempos de caducidad más cortos para los tokens, alertas push y límite de montos.
Las cifras globales de pago sin contacto muestran una adopción acelerada, lo que amplía la superficie de ataque si el usuario no activa protecciones: biometría obligatoria, pantalla bloqueada, carteras digitales con 2FA y notificaciones en tiempo real.
Casos internacionales revelan que los estafadores combinan ingeniería social (falsos agentes que piden “activar seguridad”), phishing por mensajería y clonación de SIM para obtener códigos. Una vez dentro, cambian el teléfono confiable y ejecutan retiros discretos en cajeros habilitados para NFC/QR.
Los bancos recomiendan nunca compartir claves, no dictar códigos por teléfono, verificar dominios oficiales, desactivar el NFC cuando no se use y revocar de inmediato dispositivos en la app si se detecta actividad sospechosa. Además, sugieren elevar reclamos dentro de las 24–48 h para mejorar la recuperación.
Entidades financieras informan refuerzos de autenticación (biometría por transacción, geocercas, límites dinámicos y análisis de comportamiento) y campañas de educación al usuario. Reguladores y asociaciones promueven estándares anti-relay y auditorías sobre cajeros con contactless.
Para el usuario, el impacto más común es la pérdida inmediata de fondos, acompañada de disputas y tiempos de reverso. Especialistas subrayan que los logs del dispositivo y las pruebas de geolocalización agilizan el reembolso cuando el banco comprueba que el equipo usado no era del titular.
La comodidad del retiro sin tarjeta llegó para quedarse, pero requiere higiene digital estricta: 2FA robusto, biometría, alertas activas y controles de sesión. Si algo luce inusual, bloquea la app y contacta al banco de inmediato.
