En apenas unos años, Apple Pay ha pasado de ser una novedad a convertirse en parte del día a día de millones de personas. La comodidad de pagar con el móvil o el reloj ha disparado su uso, con cientos de millones de usuarios y billones de operaciones anuales en todo el mundo, también en España y el resto de Europa.
Esa popularidad tiene una cara menos amable: se ha convertido en un objetivo prioritario para los estafadores. No porque el sistema de Apple sea inseguro, sino porque los delincuentes saben que, donde se mueve mucho dinero y hay confianza en la tecnología, es más fácil colar engaños basados en la ingeniería social y en la manipulación del usuario.
Apple Pay es seguro, pero el eslabón débil sigue siendo el usuario
Los expertos en ciberseguridad recuerdan que el diseño de Apple Pay está orientado a la seguridad y la privacidad. El servicio utiliza mecanismos como la autenticación biométrica (Face ID o Touch ID) para autorizar pagos y la tokenización para evitar que los números reales de la tarjeta viajen por la red o se almacenen en el dispositivo.
Estas capas técnicas hacen que resulte extremadamente complicado que un atacante robe directamente los datos de la tarjeta desde el iPhone o el Apple Watch. Por eso, en la práctica, la mayoría de fraudes no atacan la tecnología, atacan a la persona: se centran en conseguir que el propio usuario entregue voluntariamente sus credenciales, códigos de un solo uso o datos bancarios.
Investigadores de compañías como ESET señalan que los ciberdelincuentes buscan sobre todo información financiera, acceso al ID de Apple y códigos 2FA (autenticación en dos pasos). Una vez obtienen estas piezas, pueden vincular tarjetas ajenas a sus monederos, autorizar pagos o incluso intentar vaciar saldos de servicios vinculados, como Apple Cash en los países donde está disponible.
En paralelo, la tecnología de comunicación de campo cercano (NFC), que hace posible el pago contactless con el móvil, también está cada vez más vigilada por los atacantes. En el entorno de Android, por ejemplo, se ha observado un incremento notable de malware que abusa de NFC, lo que muestra el interés generalizado de los delincuentes por los pagos móviles.
Las estafas más habituales dirigidas a usuarios de Apple Pay
En Europa y en España se están detectando patrones de fraude muy similares a los descritos por los analistas internacionales. Seis modalidades concentran la mayoría de los engaños vinculados a Apple Pay, muchas de ellas también replicadas en otros servicios como Google Pay.
1. Phishing: mensajes que se hacen pasar por Apple o por tu banco
El phishing sigue siendo la puerta de entrada principal para este tipo de fraudes. El usuario recibe un SMS, correo electrónico o llamada que parece venir de Apple, de su banco o de un servicio de mensajería. El pretexto suele ser un premio, un reembolso pendiente o un supuesto problema de seguridad con Apple Pay o con la tarjeta.
En el mensaje se incluye un enlace que conduce a una web que imita la apariencia oficial de Apple o del banco. En esa página se piden datos como el número de tarjeta, usuario y contraseña del banco, ID de Apple o incluso códigos de autenticación de un solo uso. El usuario, confiado, introduce la información sin sospechar que está en un sitio controlado por el estafador.
En algunos casos, los delincuentes utilizan esta información en tiempo real: mientras la víctima rellena el formulario, ellos intentan añadir esa tarjeta a su propio monedero Apple Pay. El banco envía entonces un código SMS para confirmar la vinculación; el sitio fraudulento pide ese código y, si la persona lo introduce, la tarjeta queda asociada al dispositivo del delincuente.
El mismo esquema se replica por teléfono: una persona que dice ser del servicio de soporte de Apple o del banco insiste en que hay un movimiento sospechoso y que es necesario “verificar” la identidad, tratando de conseguir credenciales o códigos 2FA que nunca deberían compartirse.
2. Fraudes en mercados digitales: compras con tarjetas robadas
Otra táctica muy extendida se da en los portales de compraventa entre particulares y en plataformas de segunda mano. Aquí, el papel de víctima suele ser el vendedor. Un “comprador” se interesa por un producto de cierto valor —móviles, ordenadores, consolas, relojes, etc.— y asegura que pagará con Apple Pay usando su iPhone o Apple Watch.
El problema es que ese supuesto comprador ha vinculado a su Apple Pay tarjetas robadas o comprometidas. La operación de pago se realiza aparentemente sin incidencias, el vendedor ve el dinero en su cuenta y procede a enviar el artículo, confiando en que todo está en orden.
Días después, el titular legítimo de la tarjeta desconoce el cargo ante su banco. La entidad financiera investiga, inicia la devolución del importe y, al final, el vendedor se queda sin el producto y sin el dinero, porque es obligado a reembolsar lo cobrado. El estafador, mientras tanto, ya ha recibido y probablemente revendido el artículo.
3. Pago en exceso: “te he mandado de más, devuélveme la diferencia”
Muy ligada a los mercados digitales aparece la estafa del pago en exceso. Aquí el delincuente también se hace pasar por comprador, pero su jugada es algo distinta: realiza un pago por un importe superior al acordado y, acto seguido, se disculpa y pide que le devuelvan la diferencia.
Para esa devolución, suele proponer canales alternativos como Apple Cash en los países donde existe, u otras aplicaciones de envío de dinero (por ejemplo, servicios tipo Venmo o Zelle en el mercado estadounidense). Todo ello, con prisas y apelando a la buena fe del vendedor.
La clave está en que el primer pago procede de una tarjeta robada. Cuando el banco anula esa operación fraudulenta, el vendedor pierde tanto el importe inicial como la cantidad que haya devuelto de su propio bolsillo, y, si además ha enviado el producto, también pierde el artículo.
4. Pagos no solicitados: dinero que llega “de la nada”
Una variante muy parecida es la del pago no solicitado. La víctima recibe un ingreso inesperado a través de Apple Pay y, poco después, un mensaje o llamada del supuesto remitente diciendo que se ha equivocado de destinatario o que se trata de un error.
Con ese argumento, el estafador presiona para que se devuelva el dinero usando métodos como Apple Cash, tarjetas regalo digitales o aplicaciones de pago externas. De nuevo, el origen del ingreso suele ser una tarjeta ajena, por lo que, cuando el banco lo detecta, reclama la devolución del importe original, mientras que la cantidad reembolsada por la víctima ya ha volado hacia las manos del delincuente.
El resultado es un doble perjuicio: quien ha recibido el pago que no esperaba debe devolverlo al titular legítimo y, además, ha enviado un segundo pago por otra vía del que nadie le va a resarcir.
5. Recibos y capturas de pantalla falsos
Otra trampa frecuente en la compraventa online consiste en utilizar recibos falsificados. El estafador se compromete a comprar un producto y afirma que ha realizado el pago mediante Apple Pay. Para demostrarlo, manda una captura de pantalla preparada en la que se ve un supuesto justificante de pago.
A veces, ese falso comprobante incluye mensajes como que el dinero está “en espera” o “en custodia” y que se liberará en cuanto el vendedor envíe el paquete y facilite un número de seguimiento. Es una manera de dar más apariencia de oficialidad al engaño.
La realidad es que Apple Pay no ofrece servicios de depósito en garantía ni retiene fondos en custodia. Si el saldo no aparece en la cuenta o en la app bancaria, no hay pago real. Confiar solo en una captura de pantalla es abrir la puerta a que el artículo se envíe sin haber cobrado nada.
6. Redes Wi‑Fi públicas y puntos de acceso “gemelos malvados”
Fuera del terreno de los mensajes y las capturas, también existen ataques que aprovechan la conexión a Internet del dispositivo. Uno de los más comentados es el del llamado evil twin o “gemelo malvado”: un punto de acceso Wi‑Fi que imita el nombre de una red legítima en espacios como cafeterías, estaciones o aeropuertos.
Cuando el usuario se conecta a esa red falsa, el atacante puede interceptar parte del tráfico y redirigir al iPhone o al ordenador a páginas fraudulentas que imitan los portales de Apple o de entidades bancarias. Desde ahí, vuelve a aparecer la parte de ingeniería social: el objetivo es robar el ID de Apple, contraseñas o datos de pago.
Con estas credenciales, los delincuentes pueden intentar acceder a servicios de monedero digital, revisar información sensible o incluso mover fondos asociados si la cuenta tiene saldo disponible, por ejemplo en soluciones tipo Apple Cash en los mercados donde opera.
Señales de alarma: cuándo sospechar de una estafa con Apple Pay
Aunque los delincuentes vayan refinando sus métodos, casi todas estas estafas comparten una serie de patrones que pueden ponerte en alerta. Prestar atención a estos detalles ayuda a cortar el fraude antes de que sea tarde.
- Urgencia y presión: mensajes o llamadas que piden actuar “ya” para no perder un premio, evitar un supuesto bloqueo de cuenta o solucionar una incidencia inventada.
- Petición de códigos 2FA o contraseñas: ni Apple, ni tu banco, ni un servicio de mensajería serio te pedirán por SMS, correo o teléfono los códigos que recibes para iniciar sesión o autorizar operaciones.
- Devoluciones de pagos recientes: si alguien que te acaba de pagar insiste en que le devuelvas parte o todo el importe por otro método (tarjeta regalo, app de pago distinta, etc.), conviene sospechar y comprobar bien el origen.
- Pagos en custodia inexistentes: cualquier historia sobre fondos “retenidos” por Apple Pay hasta que envíes el producto es falsa; la plataforma no funciona como un servicio de escrow.
- Contactos no solicitados que se hacen pasar por Apple o por tu banco: si una persona se presenta como empleado de soporte y empieza a pedirte datos sensibles, lo más prudente es colgar y llamar tú mismo al número oficial de la entidad.
En muchas ocasiones, el factor decisivo es pararse unos segundos antes de hacer clic o responder. Esa pausa suele ser suficiente para detectar incoherencias, faltas de ortografía, direcciones web sospechosas o peticiones que no encajan con el funcionamiento habitual de Apple Pay o de tu banco.
Buenas prácticas para usar Apple Pay con más tranquilidad
A pesar del ruido en torno a estos fraudes, los especialistas coinciden en que mantener a salvo tu dinero y tus datos con Apple Pay es perfectamente posible si se combinan las protecciones técnicas del dispositivo con ciertos hábitos de prudencia.
En primer lugar, merece la pena revisar las opciones de seguridad del iPhone. Activar la función de protección contra dispositivos robados hace que cambios sensibles, como modificar ajustes de seguridad o gestionar tarjetas, requieran Face ID o el código del dispositivo incluso cuando el móvil está desbloqueado.
También es recomendable habilitar las notificaciones para todas las tarjetas integradas en la Cartera (Wallet). De esta forma, cualquier pago o cargo se refleja de inmediato en la pantalla, lo que facilita detectar operaciones que tú no has autorizado y reaccionar rápido.
Si compras con frecuencia por Internet, conviene utilizar dentro de Apple Pay tarjetas que admitan devoluciones de cargo. Esto ofrece un margen adicional de protección en caso de que el vendedor resulte ser un estafador o no entregue el producto.
En entornos compartidos como aeropuertos, hoteles o cafeterías, la recomendación general de los expertos es evitar el uso de Wi‑Fi público sin protección para tareas sensibles. Cuando no quede más remedio, apoyarse en una red privada virtual (VPN) de un proveedor fiable ayuda a cifrar la conexión y a dificultar la interceptación de datos.
Por último, resulta útil mantenerse al día sobre nuevas tácticas de fraude. Las estafas evolucionan, cambian de excusa y se adaptan a las noticias del momento, por lo que dedicar unos minutos de vez en cuando a leer alertas de organismos europeos, fuerzas de seguridad o empresas de ciberseguridad puede marcar la diferencia.
Qué hacer si crees que has caído en una estafa con Apple Pay
Si sospechas que has sido víctima de alguno de estos engaños, el elemento clave es la rapidez de reacción. Cuanto antes actúes, más opciones tendrás de limitar el daño económico y recuperar el control de tus cuentas.
Lo primero es revisar la app de Wallet y tu banca online para comprobar si hay pagos que no reconoces o tarjetas añadidas que tú no has configurado. Desde el propio dispositivo puedes intentar cancelar operaciones recientes o eliminar tarjetas sospechosas vinculadas al monedero.
De forma paralela, conviene ponerse en contacto con el banco inmediatamente. La entidad puede bloquear o anular tarjetas, detener cargos en curso y emitir nuevos plásticos. Si has facilitado códigos 2FA o credenciales de acceso, lo prudente es considerar esos datos comprometidos y actuar en consecuencia.
Otra medida prioritaria es cambiar las contraseñas de tu ID de Apple y de los servicios financieros asociados, activando o revisando la autenticación en dos factores allí donde esté disponible. Es fundamental que las nuevas claves sean robustas y que no se reutilicen contraseñas antiguas en distintas plataformas.
Desde el punto de vista legal, en Europa es aconsejable denunciar el fraude ante las autoridades competentes. Pueden intervenir tanto organismos nacionales como cuerpos policiales especializados en delitos informáticos, y también se puede recurrir a los canales de Europol para reportar redes de fraude que operan a escala transfronteriza.
Los monederos digitales han simplificado notablemente la forma en que pagamos, pero esa comodidad implica asumir que la primera línea de defensa eres tú. Conociendo cómo funcionan las estafas más comunes, reconociendo las señales de alarma y aprovechando bien las funciones de seguridad del dispositivo, es posible moverse por el ecosistema de Apple Pay con mucha más tranquilidad y reducir al mínimo las opciones de que un delincuente saque partido de tu confianza.
