Apple Pay se consolidó como uno de los sistemas de pago digital más utilizados del mundo, con cientos de millones de usuarios activos y billones de transacciones procesadas durante 2025.
Sin embargo, ese volumen de dinero y confianza también despierta el interés de los estafadores.
Desde ESET, compañía especializada en detección proactiva de amenazas, advierten que los fraudes vinculados a billeteras digitales crecen al ritmo de su adopción y que la prevención sigue siendo la mejor defensa.
Según explican desde la firma de ciberseguridad, Apple diseñó su ecosistema con fuertes capas de protección.
La autenticación biométrica mediante Face ID, la tokenización de datos y la imposibilidad de almacenar números reales de tarjeta en el dispositivo reducen notablemente el riesgo técnico. Aun así, los delincuentes encuentran la forma de atacar al eslabón más vulnerable: el usuario.
Mario Micucci, Investigador de Seguridad Informática de ESET, señala que la reputación de Apple en materia de privacidad es utilizada como anzuelo.
“La plataforma es segura, pero los estafadores suelen ‘piratear’ al propietario del dispositivo mediante engaños que buscan obtener credenciales, códigos de verificación o acceso a la billetera digital”, explica.
Fraudes que no distinguen entre Apple Pay y Google Pay
Desde ESET aclaran que estas estafas no afectan únicamente a Apple Pay. Los usuarios de Google Pay también deben estar atentos, ya que la mayoría de los ataques se basan en ingeniería social y no en vulnerabilidades del sistema.
En paralelo, la tecnología NFC, base de los pagos sin contacto, se encuentra bajo mayor presión: las detecciones de malware para Android que abusan de NFC casi se duplicaron entre el primer y segundo semestre de 2025.
El objetivo final suele ser siempre el mismo: robar información financiera, apropiarse de dinero o secuestrar cuentas mediante el acceso al ID de Apple y a los códigos de autenticación de dos factores.
Phishing y robo de credenciales en tiempo real
El phishing continúa siendo una de las amenazas más efectivas. Los usuarios reciben mensajes de texto, correos electrónicos o llamadas que simulan ser de Apple o de una entidad bancaria.
El pretexto puede ser un reembolso pendiente, un premio inexistente o la supuesta suspensión de la cuenta. Al hacer clic en enlaces falsos, la víctima es dirigida a sitios que imitan a los oficiales y solicitan datos sensibles.
En algunos casos, los atacantes actúan en tiempo real: mientras el usuario introduce la información, el estafador añade la tarjeta robada a su propio monedero.
Cuando el banco envía el código de verificación, el sitio fraudulento lo solicita de inmediato. Ingresarlo equivale a entregar el control de la tarjeta.
Estafas en mercados digitales y pagos manipulados
Otra modalidad frecuente se da en plataformas de compraventa. Un comprador falso utiliza tarjetas robadas vinculadas a Apple Pay para adquirir un producto de alto valor.
Días después, cuando el titular legítimo desconoce el cargo, el banco exige el reembolso y la víctima pierde tanto el dinero como el artículo enviado.
A esto se suman los fraudes por pago en exceso. El estafador paga más de lo acordado y luego solicita la devolución de la diferencia mediante Apple Cash u otra app similar.
Al tratarse de una tarjeta robada, el pago original se revierte y la pérdida recae sobre el vendedor.
Una variante similar es el pago no solicitado. El usuario recibe dinero sin motivo y, tras un contacto del supuesto remitente, se le pide devolverlo por otro medio. Finalmente, el banco anula la transacción inicial y la víctima asume el costo del reembolso.
Recibos falsos y redes Wi-Fi peligrosas
Los recibos falsos también forman parte del repertorio. Los estafadores envían capturas de pantalla que aparentan pagos realizados por Apple Pay y alegan que el dinero queda “en custodia” hasta el envío del producto.
En la práctica, Apple Pay no retiene fondos de ese modo y el pago nunca existió.
El uso de redes Wi-Fi públicas representa otro riesgo. Los atacantes pueden crear puntos de acceso falsos que imitan redes legítimas en aeropuertos o cafeterías.
A través de ellos, redirigen a portales falsos de Apple para robar credenciales y, en algunos casos, vaciar saldos de Apple Cash.
Señales de alerta que no deben ignorarse
ESET recomienda desconfiar de cualquier mensaje que genere urgencia para compartir datos personales o financieros.
Ninguna empresa legítima solicita códigos 2FA, y cualquier pedido de devolución inmediata de un pago reciente debería encender las alarmas.
También es sospechoso que pidan enviar un producto antes de confirmar el pago real o que contacten de forma no solicitada diciendo representar a Apple o a un banco.
Recomendaciones prácticas para mantenerse a salvo
Para reducir riesgos, los especialistas aconsejan activar la protección contra dispositivos robados, de modo que los cambios sensibles requieran Face ID.
También es clave habilitar las notificaciones de todas las tarjetas en Apple Pay para detectar movimientos sospechosos al instante.
Al comprar en línea, conviene utilizar tarjetas que permitan devoluciones de cargo y evitar redes Wi-Fi públicas sin protección.
En estos casos, el uso de una VPN confiable ayuda a mantener la conexión cifrada y a prevenir la interceptación de datos. Algunos proveedores de ciberseguridad incluyen además servicios de protección de identidad y monitoreo de la web oscura.
Micucci concluye que actuar rápido es fundamental. Ante la sospecha de una estafa, se debe intentar cancelar el pago desde Apple Pay o contactar de inmediato al banco.
Si se compartieron credenciales, es imprescindible cambiar contraseñas y solicitar la reemisión de tarjetas.
“Los monederos digitales nos simplifican la vida, pero también aceleran el fraude. Detenerse a pensar unos segundos antes de pagar, vender o responder mensajes puede marcar la diferencia”, afirma.
