Apple Pay se ha consolidado como uno de los principales servicios de pago digital a nivel global. Según estimaciones, cuenta con cientos de millones de usuarios en todo el mundo y procesó billones de pagos solo en 2025, un volumen que, de acuerdo con ESET, lo convierte en un objetivo atractivo para los estafadores, no por una vulneración de la plataforma, sino porque los ciberdelincuentes aprovechan la confianza del usuario en el ecosistema de Apple.

Bajo este escenario, la empresa de ciberseguridad identificó seis modalidades de fraude vinculadas a Apple Pay, dirigidas a la obtención de dinero, información financiera, el ID de Apple y los códigos de inicio de sesión o autenticación de dos factores (2FA).

Según la firma, uno de los mecanismos más recurrentes es el phishing, que llega a través de mensajes de texto, llamadas telefónicas o correos electrónicos que solicitan verificar información. Los estafadores utilizan pretextos como premios, reembolsos o supuestas suspensiones de cuentas de Apple Pay. Al hacer clic en los enlaces, las víctimas son dirigidas a sitios falsos donde se les piden datos bancarios o de tarjetas.

ESET explicó que en algunos casos los delincuentes capturan la información en tiempo real y la incorporan a su propio monedero digital. Cuando esto ocurre, el banco envía una contraseña de un solo uso para validar la operación, la cual es solicitada de inmediato en el sitio fraudulento. Al introducirla, la tarjeta queda vinculada al monedero del estafador.

Otra modalidad detectada se presenta en mercados digitales, donde un comprador falso conecta tarjetas robadas a Apple Pay para adquirir artículos de alto valor ofrecidos por la víctima. Cuando el titular legítimo de la tarjeta desconoce el cargo y reclama ante su banco, el reembolso es exigido, pero el producto ya fue enviado.

También se registran fraudes por pagos en exceso y pagos no solicitados, en los que el estafador envía dinero —generalmente desde una tarjeta robada— y luego solicita la devolución parcial o total a través de Apple Cash u otras aplicaciones. Al final, la víctima pierde el producto, el pago inicial y el monto reembolsado.

El recibo falso es otra práctica común. Los delincuentes envían capturas de pantalla que simulan un pago realizado vía Apple Pay y aseguran que los fondos están pendientes o en “custodia” hasta que se envíe el artículo y se proporcione un número de seguimiento. Apple Pay no retiene fondos en custodia, puntualizó ESET.

El riesgo se incrementa cuando se utiliza Wi-Fi público, pues, según la compañía de ciberseguridad, los atacantes pueden instalar puntos de acceso falsos que imitan redes legítimas en lugares como aeropuertos o cafeterías. A través de estas conexiones, redirigen a portales falsos de Apple para obtener el ID de Apple y la contraseña, datos que pueden ser utilizados para intentar quedarse con el saldo de Apple Cash.

La advertencia también alcanza a otros servicios de pago móvil. Los usuarios de Google Pay deben tomar nota, ya que, según ESET, las estafas actuales se centran en la manipulación del comportamiento del usuario. En ese sentido, la firma señala que las detecciones de malware para Android que utiliza tecnología NFC casi se duplicaron entre el primer y el segundo semestre de 2025.

La empresa señaló que existen indicadores claros de contacto fraudulento, como mensajes o llamadas que apelan a la urgencia, solicitudes de códigos 2FA, peticiones de devolución de pagos por otros métodos o solicitudes para enviar artículos antes de confirmar el pago.

“Las estafas relacionadas con Apple Pay pueden parecer desconcertantemente generalizadas, pero mantener la información personal, dinero y cuentas a salvo y seguras no es tan difícil como podrías pensar.

“En primer lugar, tómate un momento para reconocer las banderas rojas y las estafas más comunes de Apple Pay. Sigue revisando de vez en cuando para refrescar tu memoria y actualizar tus conocimientos a medida que estas estafas evolucionan”, indicó Mario Micucci, investigador de Seguridad Informática de ESET.