Si pasas por caja en el súper y te dan a elegir entre acercar la tarjeta o el móvil, la escena dura segundos. Lo que no vemos es que, en esos mismos segundos, se juega una pequeña batalla de ciberseguridad. Y cada vez más expertos coinciden: técnicamente, el smartphone parte con ventaja.
La última en avivar el debate ha sido la intervención del perito en fraude y cibercrimen Juan Carlos Galindo, que resumía la discusión con una pregunta sencilla: “¿Cómo funciona el wireless?”. Su respuesta es clara. En igualdad de condiciones, prefiere pagar con el teléfono antes que con la tarjeta física, porque la forma en que se identifican ante el datáfono no es la misma.
Qué hace realmente tu tarjeta cuando la acercas al datáfono
Tanto la tarjeta contactless como el móvil usan la misma “autopista” para hablar con el terminal: la tecnología NFC, una comunicación inalámbrica de muy corto alcance que permite pagar con solo acercar unos centímetros el plástico o el smartphone al TPV.
En la tarjeta tradicional, el chip emite siempre una identificación asociada a esa tarjeta. Es como enseñar la misma credencial una y otra vez. Si un atacante consiguiera capturar y reproducir esa señal en un entorno donde fallaran otras barreras, podría intentar clonar la forma en que la tarjeta “se presenta” al datáfono. Eso no significa que cada pago contactless sea un riesgo inasumible, porque alrededor hay límites de importe sin PIN, sistemas antifraude de los bancos y verificación adicional en muchas compras.
Los datos europeos sobre fraude ayudan a poner las cosas en contexto. El Banco Central Europeo (BCE) calcula que, en 2019, aproximadamente el 80 % del valor del fraude con tarjeta en la zona SEPA se produjo en operaciones donde la tarjeta no estaba presente, como pagos por internet. Las transacciones con tarjeta física en comercios y cajeros representaron el 20 % restante.
Es decir, el foco principal de los delincuentes está hoy en el canal online, no en el datáfono de la tienda del barrio. Pero eso no elimina la diferencia técnica entre usar tarjeta o móvil en el mismo terminal.
Por qué el móvil juega en otra liga: tokenización y bloqueo
Aquí entra en juego el móvil. Cuando pagas con una cartera digital tipo Apple Pay o Google Wallet, el dispositivo no envía el número real de tu tarjeta, sino un token. Es un código aleatorio, de un solo uso, que se genera solo para esa operación y que, por sí mismo, no sirve para nada fuera del sistema para el que se creó.
El propio Portal del Cliente Bancario del Banco de España explica que los datos de la tarjeta viajan “disfrazados” gracias a la tokenización, de modo que el comercio no almacena el número real ni el código de seguridad, solo ese identificador efímero. En la práctica, eso significa que, aunque alguien interceptara la comunicación, lo que capturaría sería una ficha caducada.
Además del “código que cambia”, el móvil añade otra barrera: el propio dispositivo. Para que la cartera digital funcione hay que desbloquear el teléfono con PIN, huella o reconocimiento facial, y muchas apps exigen también autenticación reforzada para abrir la wallet o autorizar pagos.
El Instituto Nacional de Ciberseguridad (INCIBE) y el Banco de España llevan años repitiendo las mismas recomendaciones: bloquear siempre el terminal, activar doble factor de autenticación, desactivar el NFC cuando no se use y revisar notificaciones de cargo para detectar movimientos raros.
Para el sector financiero y para el comercio hay un incentivo añadido. Al tokenizar y sacar datos sensibles del circuito, los bancos reducen la “superficie de ataque” y los comercios almacenan menos información crítica de sus clientes, lo que rebaja riesgos legales y reputacionales en caso de incidente de seguridad.
Entonces, ¿qué debería hacer un usuario medio?
La conclusión de Galindo es bastante directa: si tienes que elegir entre acercar la tarjeta o el móvil al mismo datáfono y ambos están bien configurados, el móvil ofrece más capas técnicas de protección gracias a la tokenización y a los mecanismos de bloqueo del dispositivo.
Eso no convierte a las tarjetas en inseguras por definición. Están respaldadas por el estándar EMV, monitorización antifraude y normativa europea de autenticación reforzada. Y, en caso de operaciones no autorizadas, la banca tiene obligaciones claras de respuesta y devolución.
El matiz importante está en el “bien configurado”. Un móvil sin PIN ni biometría, con NFC siempre encendido y aplicaciones descargadas fuera de tiendas oficiales puede ser más problemático que una tarjeta que guardas en la cartera y vigilas de cerca. Según recuerdan tanto INCIBE como el Banco de España, la seguridad del sistema se rompe en cuanto el usuario baja la guardia con contraseñas, actualizaciones o redes wifi abiertas.
Al final del día, la comodidad de acercar algo al datáfono ya es un estándar. Lo que está en juego ahora es qué objeto acercas. Y, si tu móvil está bien protegido, la industria y los reguladores coinciden en que se ha ganado a pulso su papel como “tarjeta” principal.
La nota informativa sobre cómo se protegen los pagos con el móvil se publicó en Cliente Bancario del Banco de España.
