ESET Research ha detectado una campaña activa dirigida a usuarios en España que combina mensajes fraudulentos, aplicaciones falsas para Android y el uso del NFC del móvil para robar información bancaria. La investigación revela una operación diseñada para engañar al usuario y conseguir la información vinculada con su tarjeta bancaria que permite replicarla y preoceder a realizar pagos contactless desde un dispositivo móvil controlado por los ciberdelincuentes.

En esta campaña, los ciberdelincuentes distribuyen una aplicación maliciosa que se presenta como una supuesta herramienta de protección bajo nombres como “Seguridad NFC – Bloqueador de Cargos”, y la promocionan a través de una web que imita a Google Play para dar apariencia de legitimidad. Una vez instalada, la app muestra mensajes fraudulentos, solicita acciones al usuario y envía la información robada a la infraestructura controlada por los atacantes. 

ESET ha observado además que esta operativa personaliza los engaños suplantando marcas conocidas, incluyendo Santander, CaixaBank y Unicaja, así como otras fuera del sector financiero como Shein.

El gancho: el miedo a un cargo no autorizado y el uso del NFC

El gancho de esta campaña conecta directamente con un hábito cada vez más extendido entre los consumidores: pagar con el móvil o con tarjetas contactless. Los delincuentes aprovechan esa familiaridad con la tecnología NFC para construir un engaño creíble.

La víctima recibe un mensaje fraudulento o llega a una web falsa con un aviso alarmante relacionado con un supuesto problema de seguridad, un cargo sospechoso o un bloqueo preventivo. A continuación, se le pide descargar una aplicación que aparenta ser legítima y que, una vez instalada, muestra mensajes o pantallas que simulan proceder de un servicio de seguridad o de una entidad bancaria. Después, se solicita al usuario acercar su tarjeta al teléfono para una supuesta verificación y, en algunos casos, introducir también el PIN. En realidad, todo ese proceso está diseñado para que la información acabe en manos de los atacantes y estos puedan almacenar los datos de las tarjetas robadas en las carteras digitales de otros móviles controlados por ellos para realizar pagos a cargo de sus víctimas.

“Lo preocupante de esta campaña es que utiliza una tecnología cotidiana y ampliamente adoptada, como el NFC, para construir un engaño muy convincente. El usuario cree que está protegiendo su cuenta, cuando en realidad está facilitando datos críticos a los delincuentes”, explica Josep Albors, director de investigación y concienciación de ESET España. “Para un usuario no especializado, la secuencia puede parecer razonable, precisamente porque mezcla elementos conocidos. Ahí reside buena parte de su peligrosidad”.

Una amenaza que evoluciona y se adapta a España

Aunque este tipo de amenaza no surge de la nada, sí marca una evolución clara en su adaptación al mercado español. Los investigadores de ESET han vinculado esta actividad con campañas previas relacionadas con la infraestructura conocida como Devil NFC, una plataforma criminal que habría sido utilizada desde principios de 2026 para lanzar distintos señuelos y aplicaciones fraudulentas dirigidas a usuarios hispanohablantes.

A lo largo de los últimos meses, los atacantes habrían ido cambiando tanto los nombres de las aplicaciones como las marcas suplantadas para aumentar la efectividad del engaño. Esta evolución refleja una tendencia cada vez más habitual en la ciberdelincuencia: reutilizar la misma infraestructura técnica, pero adaptar el discurso, la imagen y las marcas al país o al momento para aumentar el número de víctimas.

ESET advierte de que este tipo de campañas representan un salto importante frente a fraudes móviles más tradicionales. En lugar de limitarse al robo de contraseñas o códigos enviados por SMS, los delincuentes buscan ahora información directamente vinculada a la tarjeta bancaria física y a su uso real.

El resultado es una amenaza con un impacto potencial mucho más directo sobre el bolsillo de la víctima. Por eso, los investigadores insisten en que este tipo de engaños deben entenderse no solo como una estafa digital más, sino como una forma de fraude financiero diseñada para aprovechar la confianza del usuario en procesos aparentemente rutinarios.

Ante campañas de este tipo, ESET, compañía líder en ciberseguridad, recomienda seguir estas pautas:

• Desconfía de mensajes alarmistas que hablen de bloqueos, cargos sospechosos o problemas urgentes en la cuenta.
• No instales aplicaciones desde enlaces recibidos por SMS, WhatsApp o correo electrónico.
• Comprueba siempre que la app procede de una tienda oficial y del desarrollador legítimo.
• No acerques la tarjeta bancaria al teléfono ni introduzcas el PIN por indicación recibida en un mensaje, una web o una app no verificada.
• Contacta directamente con el banco a través de sus canales oficiales ante cualquier duda.
• Mantén el dispositivo actualizado y protegido con una solución de seguridad capaz de detectar aplicaciones maliciosas.