¿Pueden retirar dinero de una tarjeta bancaria que llevas en el bolsillo? Mito, amenaza real o riesgo mal entendido

El pago sin contacto se ha convertido en uno de los hábitos más cómodos de la vida moderna. En Europa occidental, el Reino Unido y Estados Unidos, millones de personas pagan la compra, el café, el transporte público, el aparcamiento, el combustible, la comida para llevar y muchos servicios cotidianos simplemente acercando una tarjeta bancaria, un smartphone o un smartwatch a un terminal de pago.

La tecnología parece casi invisible. Ya no hace falta introducir la tarjeta en un lector, pasar una banda magnética, firmar un recibo ni, en muchos pagos pequeños, introducir el PIN. La transacción se completa en pocos segundos. Precisamente esa rapidez ha hecho que el pago sin contacto sea tan popular.

Pero esa misma comodidad también ha generado una preocupación persistente: ¿puede alguien retirar dinero de una tarjeta bancaria sin contacto mientras sigue dentro de tu bolsillo?

El escenario es fácil de imaginar. Un estafador camina por un metro lleno, un aeropuerto, un festival o un centro comercial con un terminal de pago o un smartphone oculto. Se acerca a la gente, coloca el dispositivo cerca de bolsillos o bolsos y cobra pequeñas cantidades sin que nadie lo note.

Suena inquietante. Y, a primera vista, también parece técnicamente posible.

La realidad, sin embargo, es más matizada. Las tarjetas sin contacto sí se comunican de forma inalámbrica, pero a una distancia extremadamente corta. Un terminal de pago puede interactuar con una tarjeta sin que esta se inserte en un lector. Algunos pagos de bajo importe pueden completarse sin PIN, sin firma y sin una verificación adicional del titular.

Aun así, el escenario popular del “robo desde el bolsillo” es mucho más difícil en la práctica de lo que sugieren los vídeos virales y las advertencias alarmistas. El alcance NFC es muy corto, la orientación de la tarjeta importa, las carteras y otras tarjetas pueden interferir con la señal, los terminales de pago son rastreables, los bancos aplican controles antifraude, y los límites o reglas de autenticación pueden interrumpir operaciones sospechosas.

Esto no significa que el riesgo sea cero. Significa que el riesgo suele entenderse mal.

El peligro más realista no suele ser un hacker misterioso vaciando una cuenta a distancia. Los riesgos más probables son tarjetas perdidas, carteras robadas, fraude online, phishing, páginas de pago falsas, comercios comprometidos e ingeniería social. Aun así, entender cómo funciona la seguridad de las tarjetas sin contacto es útil, especialmente para quienes viajan con frecuencia, usan transporte público concurrido o llevan sus tarjetas en bolsillos o bolsos fácilmente accesibles.

Cómo funcionan las tarjetas bancarias sin contacto

Una tarjeta bancaria sin contacto contiene un chip y una pequeña antena. Cuando la tarjeta se acerca a un terminal de pago, el terminal genera un campo electromagnético. Ese campo alimenta brevemente el chip de la tarjeta y permite el intercambio de datos entre la tarjeta y el terminal.

Esta tecnología se basa en NFC, siglas de Near Field Communication, o comunicación de campo cercano. La expresión “campo cercano” es esencial. NFC no está diseñado para comunicaciones de larga distancia. Normalmente funciona solo a unos pocos centímetros. En muchas situaciones reales de pago, la tarjeta debe estar casi tocando el terminal.

Un pago sin contacto no es simplemente una tarjeta que “emite dinero”. Es un proceso de pago estructurado. El terminal identifica la aplicación de pago de la tarjeta, la tarjeta responde con los datos necesarios, se realizan comprobaciones criptográficas y la transacción se procesa a través del adquirente del comercio, la red de tarjetas y el banco emisor.

Esta distinción es importante. Detectar que una tarjeta está cerca no es lo mismo que conseguir retirar dinero de ella.

Un lector NFC genérico puede detectar en algunos casos la presencia de una tarjeta sin contacto. En determinadas circunstancias, según la tarjeta, el emisor y la implementación de seguridad, también puede leer información limitada relacionada con la tarjeta. Pero realizar un pago real requiere una ruta de transacción válida. El pago debe ser aceptado por un terminal, enviado a través de un sistema de pago y abonado en una cuenta comercial o de pago.

Ese es precisamente uno de los grandes obstáculos prácticos para los delincuentes.

Por qué este miedo se ha extendido tanto

El miedo al robo mediante tarjetas sin contacto se ha popularizado porque se basa en una verdad a medias.

La parte verdadera es esta: las tarjetas sin contacto pueden detectarse o comunicarse a muy corta distancia.

La parte engañosa es la idea de que leer una tarjeta equivale automáticamente a robar dinero.

El mito se volvió más creíble cuando los smartphones empezaron a poder aceptar pagos. En muchos países, pequeños comercios pueden aceptar pagos con tarjeta directamente desde un teléfono mediante soluciones como SoftPOS, Tap to Pay o sistemas similares. Esto lleva fácilmente a imaginar que cualquier delincuente con un móvil podría caminar entre una multitud y cargar importes aleatorios a tarjetas ajenas.

En la práctica, aceptar pagos con tarjeta no es anónimo. Quien acepta pagos con tarjeta normalmente debe estar registrado con un proveedor de servicios de pago o un banco adquirente. Las transacciones están vinculadas a cuentas comerciales, cuentas bancarias, identificadores de dispositivos y sistemas de control de riesgo.

Un delincuente que intentara recaudar dinero de esta forma dejaría un rastro financiero. Eso no hace que el fraude sea teóricamente imposible, pero sí lo hace mucho menos atractivo que otras formas de fraude con tarjeta.

El robo de datos online, el phishing, los falsos mensajes de entrega, las falsas páginas de banca online, los códigos QR maliciosos y las tarjetas físicas robadas suelen ser métodos más simples, escalables y rentables.

Qué necesitaría realmente un estafador

Para retirar dinero de una tarjeta sin contacto, un estafador necesitaría mucho más que un simple escáner NFC.

Necesitaría un sistema real de aceptación de pagos, como un terminal POS, un terminal móvil o una solución aprobada de pago mediante smartphone. También necesitaría una cuenta comercial o acceso a una cuenta de ese tipo, porque el dinero debe abonarse en algún lugar.

Tendría que colocar el lector extremadamente cerca de la tarjeta. No simplemente cerca de la persona. No simplemente cerca del bolso. Muy cerca del punto exacto donde está la tarjeta.

Además, la tarjeta tendría que estar bien orientada. La comunicación NFC puede fallar si el ángulo es incorrecto, si varias tarjetas están juntas, si la cartera es gruesa, si hay objetos metálicos cerca o si el lector no está lo suficientemente próximo.

La transacción también tendría que ajustarse a las reglas de pago sin contacto aplicables en ese país, para esa tarjeta, ese banco, esa red de pago y ese comercio. En muchos mercados europeos, los pequeños pagos sin contacto pueden realizarse sin PIN, pero tras varios pagos o después de alcanzar determinados umbrales acumulados puede exigirse autenticación reforzada. En el Reino Unido, los límites de pago sin contacto son conocidos por los usuarios, aunque el mercado se está moviendo hacia soluciones más flexibles según el banco y el proveedor. En Estados Unidos no existe un único límite nacional aplicable a todas las tarjetas sin contacto; el comportamiento depende del emisor, la red de tarjetas, el comercio, la configuración del terminal y los modelos de riesgo.

Por último, la transacción tendría que superar los sistemas antifraude. Pagos repetidos e inusuales, comportamiento anómalo del comercio o patrones sospechosos pueden activar controles bancarios.

Por eso el escenario de cargar una tarjeta dentro del bolsillo es mucho más complejo de lo que muestran algunos vídeos breves en internet.

El verdadero problema del alcance NFC

NFC funciona a una distancia muy corta. En la práctica, las tarjetas sin contacto normalmente deben estar a pocos centímetros del lector. Además, la tarjeta y el terminal deben estar suficientemente alineados.

Ese alcance reducido es una de las principales características de seguridad del pago sin contacto.

Una tarjeta en un bolsillo delantero fino puede estar más expuesta que una tarjeta guardada en una cartera dentro de un bolso cerrado. Una tarjeta en un tarjetero metálico puede no responder en absoluto. Una tarjeta guardada junto con varias tarjetas puede confundir al terminal. Una tarjeta detrás de monedas, llaves, un teléfono u otros objetos puede ser difícil o imposible de leer.

Quien haya intentado pagar acercando toda la cartera a un terminal probablemente conoce este problema. El terminal puede rechazar la operación o pedir que se presente una sola tarjeta. Esa misma limitación hace que la lectura secreta en espacios públicos sea poco fiable.

Para un ataque oculto, el estafador tendría que colocar el terminal muy cerca de la posición exacta de la tarjeta y mantenerlo ahí el tiempo suficiente para realizar el intento de pago. En una multitud, la proximidad física puede ser posible, pero la posición correcta y estable de la tarjeta no está garantizada.

Esta es una de las principales razones por las que el riesgo es técnicamente concebible, pero muy limitado en la práctica.

Límites contactless en Europa, Reino Unido y Estados Unidos

Los límites de pago sin contacto no son iguales en todas partes.

En muchos países del Espacio Económico Europeo, los pequeños pagos con tarjeta sin contacto pueden realizarse sin PIN. Al mismo tiempo, se aplican reglas de autenticación reforzada del cliente. Esto significa que una tarjeta puede funcionar sin PIN para importes bajos, pero después de varios pagos o tras alcanzar determinados importes acumulados el terminal puede pedir un PIN u otra forma de verificación.

En el Reino Unido, el límite del pago sin contacto ha sido durante mucho tiempo claramente visible como límite por transacción. El mercado se está moviendo ahora hacia soluciones más flexibles según bancos y proveedores de servicios de pago. Aun así, muchos proveedores mantienen límites reconocibles para los clientes o permiten configurar límites propios.

En Estados Unidos, la situación es distinta. No existe un límite federal único de pago sin contacto que se aplique igual a todas las tarjetas. La exigencia de verificación depende del banco emisor, la red de tarjetas, el comercio, la configuración del terminal y las reglas de riesgo. Algunas transacciones sin contacto pueden realizarse sin PIN ni firma, mientras que otras pueden requerir verificación según el importe y el contexto.

Los pagos con monederos digitales suelen tratarse de forma diferente. Cuando un pago con smartphone o smartwatch ya ha sido autenticado mediante reconocimiento facial, huella dactilar, código del dispositivo u otro método seguro, la transacción puede considerarse verificada por el titular aunque no se introduzca PIN en el terminal.

Para una audiencia internacional, la formulación más precisa es esta: los pequeños pagos sin contacto pueden funcionar a menudo sin PIN, pero los límites y reglas de verificación varían según el país, el banco, la red de tarjetas y el comercio.

Por qué los monederos móviles pueden ser más seguros que las tarjetas físicas

Apple Pay, Google Pay, Samsung Wallet y sistemas similares suelen ser más seguros en muchas situaciones cotidianas que pagar directamente con una tarjeta física sin contacto.

La razón principal es la tokenización.

Cuando se añade una tarjeta a un monedero móvil, el número real de la tarjeta normalmente no se utiliza directamente en cada transacción. En su lugar, el sistema usa un token de pago. Ese token representa la tarjeta dentro del sistema de pago, pero no expone el número real de la tarjeta de la misma manera.

Los monederos móviles también suelen requerir autenticación del dispositivo. Según el teléfono o el reloj, puede ser reconocimiento facial, huella dactilar, código de acceso u otro método local de seguridad. Un ladrón normalmente no puede pagar con un smartphone bloqueado simplemente acercándolo a un terminal.

Con una tarjeta física sin contacto, algunos pagos pequeños pueden realizarse sin PIN. Con un smartphone o smartwatch correctamente protegido, el usuario normalmente debe autorizar primero el pago.

Esto no hace que los monederos móviles sean perfectos. Un código débil, un teléfono robado mientras está desbloqueado, una cuenta comprometida o un ataque de ingeniería social pueden seguir causando problemas. Pero para pagos cotidianos en tiendas, los monederos móviles suelen añadir una capa de seguridad útil.

Qué datos pueden leerse de una tarjeta sin contacto

Un malentendido habitual es pensar que si alguien puede leer algo de una tarjeta, entonces puede clonarla automáticamente o robar dinero.

Las tarjetas de pago modernas normalmente no funcionan así.

Un lector NFC simple puede detectar en algunos casos una tarjeta sin contacto y, según el tipo de tarjeta y el emisor, leer cierta información limitada. Las tarjetas antiguas a veces exponían más datos que las tarjetas recientes. Las tarjetas EMV sin contacto modernas están diseñadas con controles más fuertes y datos de transacción dinámicos.

El punto esencial es que un pago válido no se basa solo en un número de tarjeta estático. Las transacciones EMV reales utilizan procesos criptográficos que hacen mucho más difícil copiar o reutilizar datos que en las antiguas tarjetas de banda magnética.

Por tanto, hay que separar tres conceptos muy diferentes:

Detectar una tarjeta es una cosa.

Leer datos limitados de la tarjeta es otra.

Realizar con éxito un pago no autorizado es mucho más complejo.

En el debate público estos conceptos se mezclan a menudo. Precisamente por eso los mitos sobre tarjetas sin contacto se difunden con tanta facilidad.

El escenario de fraude contactless más realista

El escenario de fraude sin contacto más realista no es el ataque secreto a una tarjeta dentro del bolsillo. Mucho más habitual es el uso de una tarjeta perdida o robada.

Si un ladrón tiene físicamente la tarjeta, puede intentar realizar varios pagos pequeños sin contacto antes de que la tarjeta sea bloqueada o antes de que el banco exija autenticación adicional. Es simple, rápido y mucho más realista que un ataque con un terminal oculto en una multitud.

Por eso es fundamental bloquear la tarjeta de inmediato.

Si pierdes la cartera, no conviene esperar. La tarjeta debe congelarse desde la app bancaria o bloquearse a través del banco. Muchas entidades ofrecen ya bloqueo instantáneo, suspensión temporal, límites de gasto y ajustes separados para pagos online, en el extranjero o sin contacto.

Una tarjeta física robada sigue siendo un riesgo mucho más práctico que un ataque NFC a distancia.

El fraude online suele ser el mayor peligro

Para la mayoría de los consumidores, la principal amenaza no es NFC, sino el fraude online.

Los delincuentes suelen preferir ataques que no requieren proximidad física con la víctima. Entre ellos se incluyen falsos mensajes bancarios, correos de phishing, SMS fraudulentos de paquetería, tiendas online falsas, páginas de pago manipuladas, anuncios maliciosos, falsas plataformas de inversión y llamadas fraudulentas.

En estos casos, la víctima introduce personalmente los datos de su tarjeta, confirma un pago, comparte un código de un solo uso o instala una aplicación maliciosa. El delincuente no necesita estar junto a la víctima en un autobús ni depender de una tecnología de radio con alcance de pocos centímetros.

Por eso la protección de las tarjetas sin contacto debe formar parte de una estrategia más amplia de seguridad en pagos e higiene digital. Una cartera con bloqueo RFID puede ayudar frente a un riesgo físico muy específico, pero no protege contra sitios falsos, phishing o datos de tarjeta ya robados.

¿Son útiles las carteras con bloqueo RFID?

Las carteras, fundas y tarjeteros con bloqueo RFID utilizan materiales conductores para reducir o bloquear la comunicación por radio entre la tarjeta y un lector NFC. En la práctica funcionan como una pequeña jaula protectora alrededor de la tarjeta.

Pueden ser útiles, especialmente para quienes viajan con frecuencia, usan transporte público lleno, asisten a festivales, pasan a menudo por aeropuertos o llevan tarjetas en bolsillos exteriores o bolsos abiertos.

Además, normalmente no son caras. Una simple funda con bloqueo RFID suele ser suficiente si el objetivo es evitar una lectura NFC accidental o no autorizada.

No obstante, conviene no sobrevalorar esta protección. No protege contra el fraude online. No impide el phishing. No sirve si entregas la tarjeta a una persona deshonesta. Y no protege datos de tarjeta que ya están guardados en una cuenta online comprometida.

El bloqueo RFID es, por tanto, una capa adicional práctica, no una solución completa de seguridad bancaria.

Mejores medidas de protección diaria

La mejor protección nace de combinar buenos hábitos con ajustes bancarios.

Activa las notificaciones instantáneas

Las notificaciones push son una de las defensas prácticas más eficaces. Cada pago con tarjeta debería generar una alerta inmediata en el teléfono. Si aparece una transacción que no has realizado, puedes reaccionar rápidamente.

Una reacción rápida limita el daño y facilita la investigación del banco.

Configura límites de gasto razonables

La mayoría de las apps bancarias modernas permiten establecer límites. Según el banco, se pueden controlar gastos diarios con tarjeta, retiradas en cajeros, pagos online, pagos en el extranjero y uso sin contacto.

No tiene sentido mantener un límite muy alto en una tarjeta usada para compras cotidianas. Un límite diario más bajo reduce el posible daño en caso de robo o fraude.

Usa una tarjeta separada para compras online

Una tarjeta virtual o una segunda tarjeta puede reducir el riesgo. Muchos bancos y fintechs permiten crear tarjetas digitales para compras online. Algunas ofrecen incluso tarjetas de un solo uso o tarjetas vinculadas a un comercio concreto.

Esto es especialmente útil porque el fraude online suele ser más frecuente que el fraude físico sin contacto.

Da preferencia a los monederos móviles

Cuando estén disponibles, Apple Pay, Google Pay y sistemas similares pueden ser más seguros que la tarjeta física. Usan datos de pago tokenizados y normalmente requieren autenticación del dispositivo.

Para compras diarias en tiendas, un smartphone o smartwatch bien protegido puede ser un método de pago muy adecuado.

Guarda las tarjetas en una cartera adecuada

Es mejor no llevar una tarjeta sin contacto suelta en un bolsillo exterior fácilmente accesible. Una cartera, un tarjetero o un compartimento cerrado crean distancia y añaden cierta protección física.

Si viajas a menudo o pasas mucho tiempo en entornos muy concurridos, una funda con bloqueo RFID puede ser una medida adicional razonable.

No lleves todas las tarjetas sin necesidad

Las tarjetas que rara vez se usan no tienen por qué estar siempre en la cartera. Cuantas menos tarjetas lleves, menor será el daño en caso de pérdida.

Esto es especialmente importante durante los viajes.

Congela o bloquea de inmediato las tarjetas perdidas

Si una tarjeta se pierde, debe congelarse inmediatamente en la app o bloquearse a través del banco. Esperar no es una buena estrategia.

Un bloqueo temporal suele poder revertirse. Una transacción fraudulenta no siempre se puede deshacer de forma rápida y sencilla.

Qué hacer después de una transacción sospechosa

Si recibes una notificación de un pago con tarjeta que no has realizado, actúa de inmediato.

Primero congela o bloquea la tarjeta. Lo más rápido suele ser hacerlo desde la app bancaria. Si la app no está disponible, llama al número de emergencia del banco o del emisor de la tarjeta.

Después, comprueba si el nombre del comercio es realmente desconocido. Algunas transacciones legítimas aparecen en el extracto con el nombre de un procesador de pagos, una empresa matriz o un intermediario técnico. Esto es frecuente con apps de aparcamiento, suscripciones, marketplaces y plataformas digitales.

A continuación, contacta con el banco y comunica la transacción como no autorizada. Pregunta si la tarjeta debe sustituirse y si es posible iniciar una reclamación, reembolso o procedimiento de chargeback.

También conviene revisar el uso reciente de la tarjeta. Comprueba suscripciones online, métodos de pago guardados y compras recientes.

Si la tarjeta ha sido robada o aparecen varias transacciones no autorizadas, puede ser recomendable presentar una denuncia ante la policía. Esto puede ayudar en la revisión bancaria y crea un registro oficial del incidente.

Mitos frecuentes sobre el robo de tarjetas sin contacto

Mito 1: un ladrón puede vaciar mi cuenta pasando cerca de mí

No es realista en la práctica normal. Los pagos sin contacto están limitados por el alcance técnico, las reglas de pago, los controles bancarios y la trazabilidad de los comercios. Un ladrón normalmente no puede vaciar una cuenta simplemente pasando cerca de una persona.

Mito 2: NFC funciona a varios metros de distancia

Es falso. NFC es una tecnología de muy corto alcance. En pagos con tarjeta, la distancia práctica es de solo unos pocos centímetros.

Mito 3: cualquier smartphone puede robar dinero de una tarjeta

Un smartphone con NFC puede detectar algunas tarjetas o leer datos limitados. Pero retirar dinero requiere una transacción válida mediante un sistema de pago aprobado. Ese sistema no es anónimo.

Mito 4: las carteras con bloqueo RFID no sirven para nada

No son inútiles. Pueden bloquear o reducir mucho la comunicación NFC a corta distancia. Pero solo protegen frente a un riesgo físico específico, no contra fraude online o datos de tarjeta robados.

Mito 5: los monederos móviles son menos seguros porque son digitales

Un monedero móvil correctamente protegido suele ser más seguro que una tarjeta física, porque usa tokenización y autenticación del dispositivo.

Mito 6: las tarjetas sin contacto emiten datos constantemente

No emiten datos activamente como un transmisor de radio. Una tarjeta sin contacto es pasiva. Solo responde cuando recibe energía del campo de un lector muy cercano.

Preguntas frecuentes

¿Puede alguien cargar mi tarjeta mientras está en mi bolsillo?

En teoría, podría intentarse una transacción sin contacto muy pequeña y no autorizada si el lector está extremadamente cerca, la tarjeta no está protegida y no se requiere verificación adicional. En la práctica es difícil, poco fiable y rastreable.

¿Es una forma común de fraude?

No. Son mucho más comunes las tarjetas perdidas o robadas, el phishing, los sitios web falsos, el robo online de datos de tarjeta y la ingeniería social.

¿Se puede leer una tarjeta a través de una cartera?

A veces sí, pero no de forma fiable. Una cartera fina puede permitir la comunicación NFC. Una cartera más gruesa, varias tarjetas, objetos metálicos o material con bloqueo RFID pueden impedirla.

¿Ayuda realmente una cartera con bloqueo RFID?

Sí, contra la comunicación NFC a muy corta distancia. Es especialmente útil en multitudes, aeropuertos, transporte público y viajes. Debe verse como una capa adicional, no como una solución completa.

¿Apple Pay o Google Pay son más seguros que una tarjeta física?

En muchos casos, sí. Los monederos móviles usan datos de pago tokenizados y normalmente requieren autenticación biométrica o mediante código.

¿Se puede clonar una tarjeta sin contacto?

Las tarjetas EMV sin contacto modernas están diseñadas para resistir la clonación simple. Leer datos limitados no equivale a crear una copia funcional de la tarjeta.

¿Debería desactivar el pago sin contacto?

La mayoría de los usuarios no necesitan desactivar el pago sin contacto. Es más eficaz usar notificaciones, límites de gasto, monederos móviles y bloqueo rápido de tarjetas perdidas.

El riesgo real para Europa occidental y Estados Unidos

La idea de que alguien pueda retirar dinero silenciosamente de una tarjeta bancaria dentro de tu bolsillo no es completamente inventada. Pero está muy exagerada.

La tecnología permite comunicación sin contacto a muy corta distancia. Algunos pequeños pagos con tarjeta pueden funcionar sin PIN o firma. En condiciones ideales, un intento no autorizado es teóricamente concebible.

Pero los obstáculos prácticos son importantes. El alcance NFC es mínimo. Las carteras y otras tarjetas interfieren con la comunicación. Los terminales de pago están vinculados a comercios. Los bancos monitorizan transacciones. Los límites y reglas de autenticación varían según el mercado, pero existen de una forma u otra. Los patrones sospechosos pueden bloquearse.

Para la mayoría de las personas en Europa occidental, el Reino Unido y Estados Unidos, los riesgos más relevantes son más corrientes: perder una tarjeta, sufrir el robo de una cartera, introducir datos en una web falsa, aprobar una solicitud de pago fraudulenta o ignorar alertas bancarias.

El enfoque razonable no es el pánico, sino el uso controlado. El pago sin contacto es cómodo y, en general, seguro para el uso diario si se siguen unas reglas simples. Activa las notificaciones de pago. Guarda la tarjeta en una cartera. Usa un monedero móvil cuando sea posible. Configura límites razonables. Usa tarjetas virtuales para compras online. Bloquea inmediatamente las tarjetas perdidas. Y si pasas mucho tiempo en entornos muy concurridos, una funda con bloqueo RFID puede ser una medida adicional sensata.

El pago sin contacto no está libre de riesgos. Pero tampoco es la puerta abierta a tu cuenta bancaria que a menudo sugieren los mensajes alarmistas.

---

Las imágenes utilizadas en este artículo son generadas por IA...

Este artículo puede contener enlaces de afiliado...