En los últimos meses, expertos en ciberseguridad han alertado sobre una técnica de fraude conocida como “toque fantasma” (ghost tap o ghost touch fraud). Esta modalidad aprovecha vulnerabilidades en los sistemas de pago sin contacto (NFC)^[1] para ejecutar transacciones sin que la víctima se percate.

La tendencia preocupa especialmente en América Latina, donde los pagos digitales y las billeteras electrónicas han crecido exponencialmente. Según datos de Kaspersky (2025), Brasil concentra el 47 % de los intentos detectados globalmente de este tipo de fraude, seguido por India, China y España, mientras que países como Colombia, México y Chile comienzan a registrar sus primeros casos.

¿Cómo funciona el “toque fantasma”?

El “toque fantasma” se basa en la interceptación o simulación de señales NFC. Los delincuentes utilizan dos dispositivos: uno capta la señal legítima de la tarjeta o del celular de la víctima, mientras otro la retransmite hacia una terminal de pago distinta, completando una compra sin que el usuario intervenga.

El proceso ocurre en segundos, sin contacto físico y sin necesidad de conocer la clave de la tarjeta, aprovechando los montos pequeños que no requieren autenticación adicional.

Existen dos variantes principales:

• Ataque presencial: los delincuentes se acercan físicamente al usuario, por ejemplo, en el transporte público o centros comerciales, y con un lector ocultan la captura del token NFC.
• Ataque remoto: la víctima instala una app maliciosa que imita servicios financieros o billeteras digitales. Esta aplicación intercepta las credenciales NFC cuando el usuario intenta “validar” su medio de pago.

Ambas modalidades generan un riesgo grave porque la transacción es reconocida por los bancos como legítima, lo que dificulta la reclamación posterior.

Un riesgo creciente en América Latina

De acuerdo con Infobae (2025), el “toque fantasma” se está expandiendo rápidamente en la región impulsado por la adopción masiva de pagos contactless^[1] y smartphones con NFC habilitado por defecto.

En Colombia, la Superintendencia Financiera ha advertido sobre el aumento de transacciones no reconocidas y recomienda activar sistemas de doble autenticación y alertas instantáneas.

Además, el Centro Cibernético de la Policía Nacional ha recibido reportes de casos donde los delincuentes instalan dispositivos lectores ocultos en cafeterías o terminales de transporte, imitando los ataques “skimming”^[2] tradicionales pero adaptados al entorno digital.

Ciberseguridad y educación digital: clave para prevenir

De acuerdo con el Instituto Nacional de Ciberseguridad de España (2024), las tecnologías de pago sin contacto son seguras siempre que se usen de forma responsable y con medidas básicas de protección.

En su publicación “Métodos de pago y su seguridad”, INCIBE advierte que la mayoría de los fraudes se deben a la falta de conciencia digital del usuario, más que a vulnerabilidades técnicas. Por ello, recomienda mantener la atención activa durante las transacciones, verificar el entorno físico y evitar compartir información financiera en sitios o aplicaciones no oficiales.

En el contexto académico, resulta clave que las instituciones de educación fortalezcan programas de formación en ciberseguridad aplicada, integrando buenas prácticas sobre pagos digitales, privacidad y protección de datos.

Estas acciones refuerzan la cultura de la seguridad digital y contribuyen a los objetivos trazados por la Estrategia Nacional de Seguridad Digital de Colombia (MinTIC, 2025).

Recomendaciones para evitar el “toque fantasma”

1. Desactiva NFC cuando no lo uses. La mayoría de los smartphones permiten hacerlo desde el panel rápido.
2. Usa fundas o billeteras con bloqueo RFID/NFC, que impiden la lectura remota de las tarjetas.
3. Descarga solo aplicaciones oficiales, especialmente las de bancos o billeteras digitales.
4. Revisa los permisos de las apps: si alguna solicita acceso a NFC o Bluetooth sin justificación, elimínala.
5. Activa alertas de movimiento bancario, por SMS o notificación.
6. Evita acercar tu tarjeta o celular a terminales desconocidas.
7. Configura límites de pago sin PIN en tu banco o billetera digital.

Actualiza tu sistema operativo y apps financieras para evitar vulnerabilidades conocidas.

 Impacto y perspectivas

El fraude “toque fantasma” demuestra cómo la automatización del ciberdelito evoluciona junto con la digitalización financiera.

Para los expertos, su expansión dependerá del grado de madurez en la seguridad digital de cada país. En Colombia, el desafío está en combinar tecnología segura, regulación efectiva y educación ciudadana.

El fortalecimiento de iniciativas como el CSIRT Financiero y la promoción de buenas prácticas desde las universidades puede marcar la diferencia frente a este nuevo vector de ataque.

Conclusiones

El “toque fantasma” no solo revela debilidades técnicas en los sistemas NFC, sino también la urgencia de formar ciudadanos digitales más conscientes.

La ciberseguridad es una responsabilidad compartida que exige prevención, educación y vigilancia constante.

Adoptar hábitos digitales seguros y consultar fuentes confiables es la mejor forma de anticiparse a los riesgos emergentes.

Bibliografía

INCIBE. (2024). Métodos de pago y su seguridad . https://www.incibe.es/ciudadania/blog/metodos-de-pago-y-su-seguridad

Infobae. (2025). Detectan "Toque Fantasma", el fraude que roba pagos sin contacto en segundos. https://www.infobae.com/tecno/2025/10/08/detectan-toque-fantasma-el-fraude-que-roba-pagos-sin-contacto-en-segundos/?utm_source=chatgpt.com

Kaspersky. (2025). Delincuentes aprovechan pagos sin contacto para realizar compras fraudulentas, alerta Kaspersky. https://latam.kaspersky.com/about/press-releases/delincuentes-aprovechan-pagos-sin-contacto-para-realizar-compras-fraudulentas-alerta-kaspersky

MinTIC. (2025). Estrategia Nacional de Seguridad Digital de Colombia 2025 - 2027. https://www.mintic.gov.co/portal/715/articles-403023_recurso_2.pdf

^[1] Contactless: término inglés que significa “sin contacto”; se refiere a la tecnología de comunicación de corto alcance (NFC, Near Field Communication) que permite realizar pagos o transferencias de datos simplemente acercando una tarjeta, teléfono u otro dispositivo a un lector, sin necesidad de insertarlo ni deslizarlo.

^[2] Skimming: técnica de fraude que consiste en copiar la información de una tarjeta bancaria mediante dispositivos ocultos en cajeros o datáfonos, para clonar y usar ilegalmente los datos.

^[1]NFC: (Near Field Communication): tecnología inalámbrica de corto alcance que permite el intercambio seguro de datos entre dispositivos cercanos, usada comúnmente en pagos sin contacto y autenticaciones digitales