Bloqueo RFID: qué protege realmente (y qué no).
Si compraste una cartera con bloqueo RFID o una de esas tarjetas delgadas con bloqueo RFID que se insertan en una ranura para tarjetas en los últimos tres o cuatro años, enhorabuena: estás protegido contra un método de fraude con tarjetas que dejó de funcionar en gran medida cuando el chip de tu tarjeta se convirtió en estándar. La publicidad te dice que los ladrones pueden robar de tu cuenta a través de la tela. La publicidad tenía razón sobre la física de la radio, pero se equivocaba sobre las tarjetas en el otro extremo. El argumento es intuitivo. Tu tarjeta sin contacto envía datos por el aire, un desconocido con un lector oculto puede interceptar esos datos y tu dinero desaparece. Es el tipo de modelo de amenaza que el cerebro acepta sin problemas porque sigue las reglas del robo físico que ya conocemos. El problema es que la tarjeta de pago moderna en el otro extremo de ese enlace de radio no se comporta como supone la publicidad.
Este artículo explica qué era realmente el robo de datos mediante RFID, qué cambios introdujo el protocolo EMV sin contacto y qué está aumentando actualmente en el fraude NFC. Aviso: el fraude en auge es de esos que ninguna billetera puede detener.
Cómo se suponía que funcionaba el robo de datos mediante RFID.
Las famosas demostraciones tuvieron lugar aproximadamente entre 2009 y 2013. Investigadores como Pablos Holman y Kristin Paget subieron a los escenarios de Defcon y TED, acercaron una caja negra al bolsillo de alguien y sacaron un clon funcional de una tarjeta de crédito. Los vídeos de las conferencias se hicieron virales. En esos minutos nació una década de marketing de carteras, fundas y fundas para pasaportes.
Las tarjetas que se clonaban en esas demostraciones eran lo que en el sector de los pagos se conoce como RFID equivalente a la banda magnética. Se basaban en la primera generación de tarjetas sin contacto, como el programa original Chase Blink en Estados Unidos entre 2005 y 2013. La tarjeta transmitía, mediante un enlace de radio de corto alcance, prácticamente los mismos datos que estaban codificados en su banda magnética: el número de cuenta principal, la fecha de caducidad, el nombre del titular en muchos casos y el código de verificación estático. Un dispositivo de clonación con una antena ligeramente sobredimensionada podía leer toda esa información a través de tela o cuero fino desde unos pocos centímetros de distancia. Los datos capturados eran suficientes para codificar un clon funcional en una banda magnética en blanco y presentarlo en cualquier comercio que aún aceptara transacciones con banda magnética.
La razón técnica por la que esto funcionó es que las tarjetas usaban el estándar ISO 14443, la rama de corto alcance de la identificación por radiofrecuencia, diseñada para distancias de hasta diez centímetros. Los demostradores ampliaron ese alcance con antenas más grandes y fuentes de alimentación limpias. Las etiquetas de proximidad que usan ISO 15693, como las que se encuentran en los libros de las bibliotecas y las etiquetas de inventario de los almacenes, se pueden leer hasta a setenta centímetros. Las tarjetas de pago nunca se ajustaron a ese estándar. Pero la impresión que quedó en la mente del público fue una sola cifra: las tarjetas se pueden leer desde el otro lado de la habitación. Esa impresión era errónea incluso en 2010. Ahora lo es aún más.
No dejo de pensar en lo arraigado que ha estado ese miedo. Las tarjetas de aquellas famosas demostraciones ya no existen. La industria de los pagos evolucionó. La categoría de productos diseñada para protegerse contra esas tarjetas, no.
Por qué EMV eliminó la amenaza que el bloqueo RFID pretendía detener
Lo que acabó con los ataques de clonación de tarjetas mediante banda magnética no fueron las mejores carteras. Fue el chip EMV y, más concretamente, la versión sin contacto de EMV que viene integrada en todas las tarjetas Visa, Mastercard, American Express y Discover emitidas en los últimos años.
Esto es lo que sucede cuando acercas una tarjeta sin contacto moderna a un lector. La tarjeta y el terminal sincronizan un contador de transacciones único para esa transacción. El chip de la tarjeta utiliza una clave secreta, integrada en la fabricación y nunca transmitida, para activar un paso de cifrado que calcula un criptograma de un solo uso llamado ARQC (Criptograma de Solicitud de Autorización). El lector envía el ARQC, junto con otros campos, al banco emisor para su aprobación. Si un lector de tarjetas fraudulento (skimmer) se encuentra cerca de tu bolsillo y captura la misma transacción, obtendrá el ARQC, el número de cuenta principal, la fecha de vencimiento y poco más. No obtendrás el CVV2 (el código de tres dígitos en el reverso de la tarjeta), ni el PIN, ni los datos de la segunda pista de la banda magnética, ni ningún valor de verificación de la tarjeta reutilizable.
¿Qué tiene de malo volver a usar un ARQC capturado? El contador ya no está disponible. La siguiente transacción requiere un nuevo criptograma con el siguiente valor del contador. El sistema de autorización del emisor rechazará la repetición. Los datos robados son inútiles para clonar la tarjeta o usarla en una transacción presencial normal.
Para ilustrar esta asimetría, veamos qué información puede obtener un escáner RFID pasivo de una tarjeta EMV sin contacto con un solo toque, en comparación con lo que necesitaría un escáner clonado que funcione correctamente.
| Campo | Capturado mediante RFID skim de EMV | Necesitaba clonar o reproducir |
|---|---|---|
| Número de cuenta principal (PAN) | Sí | Sí |
| Fecha de expiración | Sí | Sí |
| Nombre del titular de la tarjeta | A veces | A veces |
| Criptograma ARQC | Sí (de un solo uso, encuadernado con contador) | No (debe ser uno nuevo para la próxima transacción) |
| CVV2 (tres dígitos del reverso de la tarjeta) | No | Sí, para la mayoría de los pagos sin tarjeta presente. |
| ALFILER | No | Sí, para retiros en cajeros automáticos. |
| Datos completos de la pista dos de la banda magnética | No | Sí, se puede clonar en una tarjeta que solo se puede deslizar. |
| Tarjeta de clave secreta | No (nunca abandona el chip) | Sí, para generar cualquier ARQC válido |
Vale la pena detenerse a analizar las cifras que respaldan esto. EMVCo, el organismo del sector que gestiona el estándar EMV, informa que el 96,20 % de todas las transacciones con tarjeta presente a nivel mundial utilizaron el chip a partir del cuarto trimestre de 2024. Alrededor del 72 % de todas las tarjetas emitidas son compatibles con EMV. En Estados Unidos, Visa informó que los comercios que completaron la actualización a chip experimentaron una disminución del 76 % en los ingresos por fraude con tarjetas falsificadas entre diciembre de 2015 y diciembre de 2017. Esto no es una tendencia débil. Esto demuestra que el chip está eliminando por completo la justificación económica para la clonación de tarjetas en persona.
Hay una excepción que vale la pena mencionar. Un número de cuenta principal y una fecha de vencimiento capturados a veces pueden probarse contra comercios que no utilizan autenticación 3DS ni verifican el CVV2. Esto representa un problema real. Además, no se trata de un problema de RFID. Los mismos números se filtran constantemente a través de brechas de seguridad en comercios, páginas de phishing y transacciones de pago fraudulentas en línea. Una billetera de bloqueo no soluciona estos problemas.
Los números de fraude sin contacto que los productos de bloqueo RFID nunca muestran
Las personas que compran carteras con bloqueo RFID casi nunca ven las cifras reales de fraude, porque la categoría de fraude contra la que se dirigen estas carteras no es la que está perdiendo dinero.
| Fuente | Año | Cifra |
|---|---|---|
| Informe anual sobre fraude de UK Finance 2025 | 2024 | Las pérdidas por fraude sin contacto en el Reino Unido ascienden a 41,1 millones de libras, el primer descenso interanual desde 2020. |
| Finanzas del Reino Unido | 2024 | Fraude total con tarjetas no autorizadas en el Reino Unido: 572,6 millones de libras esterlinas. |
| Derivado | 2024 | El fraude sin contacto representa aproximadamente el 7,2 por ciento de todo el fraude con tarjetas en el Reino Unido. |
| Finanzas del Reino Unido | 2024 | El fraude con tarjeta no presente representa alrededor del 70 por ciento de todo el fraude con tarjeta, más de 400 millones de libras. |
| Documento de compromiso de la FCA | 2025 | Tasa de fraude sin contacto de 1,3 peniques por cada 100 libras gastadas sin contacto, frente a 6 peniques por cada 100 libras en todas las transacciones con tarjeta no autorizadas. |
| FCA / Computer Weekly | 2024 | Transacciones sin contacto en el Reino Unido: 18.900 millones, un 3,4% más que el año anterior, valor medio de 15,86 libras. |
| Análisis del robo de datos de tarjetas FICO en EE. UU. (2025) | 2025 | El organismo estadounidense contra el fraude afirma explícitamente que no puede aislar el robo de datos mediante RFID como una categoría de pérdida independiente. |
Lee la última fila dos veces. La razón por la que no existe una cifra en dólares ampliamente citada para las pérdidas por clonación de tarjetas RFID en Estados Unidos es que quienes contabilizan el fraude con tarjetas no encuentran un número significativo para reportar. Aíslan la clonación en cajeros automáticos y en surtidores de gasolina porque estas dejan un dispositivo físico. La clonación RFID, tal como se presenta a los consumidores en esos videos de Defcon, no aparece en las estadísticas.
En resumen, las pérdidas documentadas por robo de datos RFID pasivo en tarjetas EMV sin contacto modernas son estadísticamente prácticamente nulas. Consumer Reports, AARP, varios expertos en seguridad, entre ellos Roger Grimes de KnowBe4, el Identity Theft Resource Center, Chase y Visa, han afirmado lo mismo en publicaciones impresas.
El Banco de la Reserva Federal de Kansas City estudió la implementación del chip en Estados Unidos en un informe sobre sistemas de pago de 2018 y descubrió que el fraude con tarjeta presente en comercios habilitados para chip disminuyó drásticamente una vez completada la transición, con una caída en las tasas de falsificación, mientras que las tasas de fraude sin tarjeta presente aumentaron en compensación, ya que los delincuentes optaron por los canales en línea, que son la vía más fácil. Esta migración es el factor clave del fraude con tarjetas en la década de 2020. El skimming, en todas sus modalidades, se ha convertido en una pequeña y menguante porción de una categoría de pérdidas por transacciones con tarjeta presente que ya se está reduciendo. El skimming sin contacto se sitúa en el extremo más pequeño de esa pequeña porción.
Vale la pena destacar otro dato. El límite máximo para pagos sin contacto en el Reino Unido se elevó de veinticinco a cien libras en 2021, y en 2025 la Autoridad de Conducta Financiera anunció que se eliminaría dicho límite a partir de marzo de 2021 y que cada emisor establecería sus propios límites. Si el robo pasivo de datos mediante pagos sin contacto fuera un vector de pérdidas significativo, un aumento de cinco veces en la exposición por transacción habría modificado las cifras. Sin embargo, no fue así. El fraude con pagos sin contacto disminuyó año tras año en 2024, a pesar de los límites más altos y el mayor número de transacciones. El protocolo está cumpliendo su función.
La verdadera amenaza NFC que tu billetera no puede bloquear
Mientras la industria del bloqueo RFID respondía a la pregunta de 2012, los atacantes siguieron adelante. El fraude NFC de mayor crecimiento en la actualidad no involucra en absoluto a un desconocido cerca de tu bolsillo.
En agosto de 2024, la empresa de seguridad ESET publicó una investigación sobre un malware para Android llamado NGate. La cadena de ataque funciona así: la víctima es víctima de phishing, generalmente mediante un mensaje de texto que supuestamente proviene de su banco. Instala lo que cree que es una actualización de seguridad bancaria. La aplicación falsa le pide que verifique su tarjeta física acercándola brevemente a la parte posterior de su teléfono. El malware lee la tarjeta a través del chip NFC del teléfono y transmite los datos, en tiempo real, al teléfono de un atacante en otro país. El atacante se acerca a un cajero automático con su teléfono en la mano y retira dinero como si la tarjeta de la víctima se hubiera acercado a la máquina. ESET documentó la detención de un sospechoso con aproximadamente seis mil quinientos euros robados a tres víctimas en un corto período de tiempo.
Ese fue el primer caso ampliamente difundido. Para la primera mitad de 2025, la telemetría de ESET mostró que las detecciones de ataques de retransmisión NFC aumentaron aproximadamente 35 veces en comparación con la segunda mitad de 2024. La técnica ya se utiliza activamente. Funciona contra las tarjetas sin contacto EMV modernas, porque el protocolo hace lo que se supone que debe hacer: se acerca la tarjeta, el criptograma es nuevo y el banco emisor ve una transacción aparentemente normal.
Una funda con bloqueo RFID no protege contra nada de esto. La víctima utiliza la tarjeta voluntariamente, conectándola a su propio teléfono, después de instalar la aplicación maliciosa. El blindaje de radiofrecuencia de la cartera no guarda relación con la superficie de ataque.
Lo que realmente protege contra este ataque es mucho más difícil de monetizar como producto físico. Hay que reconocer el mensaje de phishing, no instalar aplicaciones desde enlaces y tratar cualquier solicitud para verificar la tarjeta como lo que es: una alarma. Nada de eso cabe en una cartera de veinticinco dólares de Amazon.
Donde la tecnología de bloqueo RFID aún se gana su lugar
La verdad es que el bloqueo RFID no es inútil. El problema radica en que la protección contra el robo de datos mediante tarjetas de pago es el punto débil del producto. Los dispositivos RFID realmente vulnerables en muchas carteras son todos, excepto las tarjetas bancarias.
Una breve lista. Las antiguas tarjetas de acceso de hotel todavía se envían en muchos establecimientos utilizando las familias HID iClass y MIFARE Classic de 13,56 MHz, ambas vulneradas en investigaciones públicas y que pueden ser clonadas por cualquiera con un lector económico. Las tarjetas de acceso a edificios, especialmente los sistemas corporativos más antiguos, suelen utilizar las mismas pilas vulneradas. Las etiquetas de biblioteca siguen la norma ISO 15693, que es el estándar con mayor alcance de lectura, y filtran sus identificadores fácilmente. Algunos pasaportes biométricos antiguos tenían un control de acceso básico débil y podían ser clonados para obtener el contenido de la página de datos. Las tarjetas de fidelización, los llaveros de gimnasio y las tarjetas de transporte con saldo suelen ser fáciles de clonar o retransmitir.
Si llevas varias de esas junto con tus tarjetas bancarias, una funda protectora básica tiene una función específica. No sirve para proteger tu tarjeta Visa sin contacto.
La asimetría es el aspecto que el marketing de carteras evita. Dos problemas distintos se combinan en la misma presentación del producto, y el más fácil de explicar es el que prácticamente dejó de existir hace una década.
Una forma práctica de entenderlo: haz una lista de los objetos que llevas en la cartera. Para cada uno, pregúntate qué estándar de radio utiliza y si dicho estándar incorpora una capa de seguridad criptográfica. Las tarjetas bancarias, desde que se completó el despliegue del chip EMV, sí la tienen. La mayoría de las tarjetas de acceso a edificios, llaves de hotel y etiquetas de biblioteca no. La funda protege lo que no tiene la capa criptográfica. No puede mejorar lo que ya la tiene. Esa es la esencia del bloqueo RFID, explicada sin rodeos.
