La estafa ‘Devil NFC’ explota una limitación del protocolo EMVco; por qué la tokenización en hardware la neutraliza

Una campaña activa en España combina ingeniería social, una app fraudulenta para Android y la lectura NFC de tarjetas físicas para clonarlas digitalmente y vaciar la cuenta. El ataque tiene éxito porque el chip de las tarjetas contactless almacena los datos en claro, una característica del estándar EMVco que cualquier dispositivo NFC puede leer si el usuario acerca la tarjeta al móvil. Las soluciones de pago basadas en Secure Element y tokenización dinámica —como las que emplea Rikki— eliminan ese vector de ataque

Esta estafa, conocida como Devil NFC, está afectando a los clientes de diversas entidades bancarias en España. La víctima recibe un mensaje alarmista que le apremia a instalar una app maliciosa en Android, y a usar de forma indebida el sensor NFC del teléfono para extraer los datos de su tarjeta bancaria. Con esa información, los delincuentes replican la tarjeta digitalmente y la utilizan en pagos a través de comercio electrónico. Algo que es imposible que suceda si se utiliza un dispositivo seguro de pago basado en la tokenización de la tarjeta, como es el caso del anillo Rikki, en lugar de la tarjeta misma.

Cómo funciona el ataque

La cadena de fraude se desarrolla en tres pasos. Primero, la víctima recibe un SMS o un mensaje que advierte de un cargo sospechoso o un bloqueo en su cuenta, y le invita a instalar una aplicación supuestamente de seguridad —denominada “Seguridad NFC. Bloqueador de cargos” o variantes—. Una vez instalada, la app simula notificaciones del banco y solicita al usuario acercar su tarjeta contactless al móvil “para verificarla”. Ese gesto basta: utilizando el lector NFC del teléfono, la app captura el PAN, la fecha de caducidad y, en muchos casos, los últimos movimientos de la tarjeta. Si la víctima introduce además otros datos como el PIN, los atacantes disponen de todo lo necesario para clonar la tarjeta y realizar pagos en plataformas de comercio electrónico.

Esta campaña perpetrada por una plataforma de cibercriminales identificada como Devil NFC, funciona desde principios de 2026 lanzando variantes de aplicaciones fraudulentas dirigidas a usuarios hispanohablantes.

El problema estructural: por qué el protocolo permite leer los datos

La eficacia del ataque no depende de un fallo puntual, sino de una característica del propio estándar EMVco: el chip de las tarjetas contactless almacena los datos en formato legible —PAN, fecha de caducidad y, en muchos casos, el historial reciente— de modo que cualquier dispositivo NFC, incluida una aplicación, puede recuperarlos cuando el usuario acerca la tarjeta. La protección, hasta ahora, dependía esencialmente de que el usuario no acercara su tarjeta a un lector no confiable. La estafa Devil NFC demuestra que esa premisa ya no es suficiente: la ingeniería social está consiguiendo que la propia víctima ejecute el acercamiento.

La respuesta técnica: Secure Element con tokenización dinámica

Los dispositivos de pago basados en Secure Element con tokenización resuelven el problema en su origen. En lugar de transmitir el PAN real, emiten un token único (DPAN) vinculado al identificador del dispositivo, junto a un criptograma generado en cada transacción. El mapeo de ese token al PAN real sólo puede realizarlo el Token Service Provider de Visa o Mastercard, dentro de su propio ecosistema. Cualquier app que intente leer el dispositivo se encontrará, por tanto, con un dato sin valor reutilizable: ni puede clonarse ni puede inyectarse en un comercio online.

Tal como comenta Elena Fuenmayor, CTO de Rikki, “Devil NFC marca un punto de inflexión en el fraude bancario en España. Hasta ahora, la mayoría de las campañas iban detrás de credenciales web o códigos SMS; ésta convierte el sensor NFC del móvil de la víctima en el vector de ataque sobre su tarjeta física, y lo hace explotando una característica del estándar EMVco, no una vulnerabilidad puntual. Cuando es el propio usuario engañado quien acerca la tarjeta al lector, el chip deja de ser un perímetro fiable. La industria lleva años desarrollando arquitecturas que no dependen del comportamiento del usuario para proteger los datos —Secure Element con tokenización dinámica— y casos como éste demuestran que ya no son una opción avanzada, sino el estándar mínimo razonable para una solución de pago”.

El caso de Rikki

Rikki desarrolla un anillo de pago basado en un Secure Element certificado por Visa y Mastercard. El producto procesa actualmente más de 500.000 transacciones al mes en mercados europeos. Su arquitectura mantiene el PAN real del usuario en el ecosistema de Visa/Mastercard; lo único que el anillo almacena y emite por NFC es el token vinculado al dispositivo. Ante un intento de lectura del tipo Devil NFC, esa lectura solo recuperaría el token —inservible fuera del Token Service Provider de la red—.

Recomendaciones a los usuarios

Desde Rikki recomiendan las siguientes pautas para minimizar la exposición:

1-Desconfiar de mensajes alarmistas que urjan a actuar sobre la cuenta bancaria.

2-No instalar aplicaciones desde enlaces recibidos por SMS, WhatsApp o correo electrónico.

3-Verificar que la aplicación procede de la tienda oficial y del desarrollador legítimo.

4-No acercar la tarjeta bancaria al teléfono ni introducir el PIN por indicación de un mensaje, una web o una aplicación no verificada.

5-Ante cualquier duda, contactar con el banco a través de sus canales oficiales.

6-Mantener el dispositivo actualizado y protegido con una solución de seguridad capaz de detectar aplicaciones maliciosas.

Sobre Rikki

Rikki es una compañía especializada en wearables de pago con presencia en mercados europeos. Su producto principal es un anillo NFC que integra un Secure Element certificado por Visa y Mastercard y permite realizar pagos contactless con un gesto, sin necesidad de cartera ni móvil. La compañía procesa actualmente más de 200.000 transacciones al mes.