La ciberseguridad móvil vuelve a estar bajo la lupa con dos campañas que, aunque distintas en su ejecución, comparten un mismo objetivo: vaciar billeteras digitales y cuentas de pago aprovechando la confianza del usuario.

Recientemente, han sido noticias dos informes de amenazas que apuntan a los dispositivos móviles. Por un lado, aplicaciones falsas en iOS que se hacen pasar por wallets legítimas para robar frases de recuperación; por otro, una variante de malware en Android que convierte el teléfono en una herramienta para clonar tarjetas mediante NFC. En ambos casos, el engaño es el arma más eficaz.

iOS y apps falsas que roban cripto en la App Store

Lo que parecía un entorno relativamente controlado como la App Store ha demostrado no ser inmune. En marzo de 2026, investigadores de Kaspersky detectaron más de veinte aplicaciones fraudulentas que simulaban ser billeteras de criptomonedas populares. Con nombres casi idénticos, iconos reconocibles e incluso posicionamiento destacado en búsquedas. Pero al abrirlas, el usuario era redirigido a páginas externas diseñadas para parecer oficiales, desde donde se descargaban versiones manipuladas de wallets legítimas.

El objetivo de esta operación, bautizada como FakeWallet, es capturar frases de recuperación y claves privadas, la “llave maestra” de cualquier wallet. Una vez introducidas, el malware las cifra y las envía a servidores controlados por los atacantes. La campaña lleva activa, al menos, desde finales de 2025, y ha evolucionado con técnicas más refinadas para pasar desapercibida.

Uno de los factores que ha facilitado su expansión es el contexto: China. En ese país, muchas aplicaciones oficiales de criptomonedas no están disponibles en la tienda, los atacantes han aprovechado el vacío. Publican apps con pequeños errores tipográficos o incluso con funcionalidades aparentemente inocentes (como calculadoras o planificadores) que actúan como fachada. Una vez dentro, todo el flujo lleva a instalar software comprometido mediante perfiles de aprovisionamiento, una técnica que sortea los controles habituales del ecosistema iOS.

La campaña no se limita a wallets “calientes” (las que almacenan claves en el propio dispositivo), sino que también apunta a wallets frías como Ledger. En estos casos, el ataque recurre a pantallas de phishing muy convincentes, integradas dentro de la propia app, que solicitan al usuario su frase semilla bajo pretextos como verificaciones de seguridad.

Android y el fraude NFC: el regreso de NGate con fuerte presencia en Brasil

En paralelo, el ecosistema Android enfrenta una amenaza distinta pero igual de efectiva. Investigadores de ESET, han identificado una nueva variante del malware NGate que se oculta dentro de una aplicación legítima modificada, llamada HandyPay. Esta app, diseñada originalmente para compartir datos de tarjetas vía NFC, ha sido alterada para convertirla en una herramienta de fraude financiero.

La mecánica del ataque es muy ingeniosa. Una vez instalada (siempre desde fuentes externas, como páginas falsas), la aplicación solicita al usuario que introduzca el PIN de su tarjeta y acerque el dispositivo para leerla por NFC. A partir de ahí, el malware transfiere los datos de la tarjeta en tiempo real a un dispositivo controlado por los atacantes, permitiéndoles realizar pagos o retirar dinero en cajeros contactless.

La distribución de esta amenaza se apoya en la ingeniería social. En un caso, los usuarios son atraídos mediante una web que simula una lotería brasileña, donde siempre “ganan” un premio importante. Para reclamarlo, se les redirige a una conversación que termina guiándolos a descargar la app maliciosa. En otro, se utiliza una falsa página de Google Play que promociona una supuesta herramienta de protección de tarjetas. En ambos escenarios, la víctima instala voluntariamente el malware.

Un detalle llamativo de esta campaña es el posible uso de inteligencia artificial en su desarrollo. Los investigadores encontraron indicios que sugieren que el código pudo haber sido creado o asistido por herramientas de IA. Esto apunta a la reducción de barreras técnicas para los ciberdelincuentes, que pueden desarrollar malware funcional sin un alto nivel de especialización.

En conjunto, esta variante de NGate confirma que el fraude basado en NFC está en expansión. Ya no se trata solo de robar datos, sino de replicar físicamente el comportamiento de una tarjeta en manos del atacante, cerrando el círculo del robo digital con consecuencias reales en el mundo físico.