Alerta en el Metro: El 'Modo Express' de iPhone tiene un fallo de seguridad que permite pagos no autorizados
Hoy, 16 de abril de 2026, investigadores de ciberseguridad demuestran un exploit único en Apple Pay Transit. Por qué sucede y cómo protegerte.
La comodidad es muchas veces la enemiga de la seguridad. Durante los últimos años, millones de usuarios de Apple han confiado en el "Modo Express" para transporte público, una función que permite pasar el iPhone por el torno del metro o el autobús sin necesidad de desbloquear el terminal ni usar FaceID. Sin embargo, hoy, 16 de abril de 2026, una investigación de la Universidad de Ciberseguridad de Londres ha demostrado que esta conveniencia tiene un precio: una vulnerabilidad que permite realizar cobros fraudulentos a distancia.
En Techmentoria hemos analizado el funcionamiento del exploit y tenemos una conclusión curiosa: es un fallo de diseño que, por la forma en que gestiona los pagos, afecta a los iPhone pero deja a salvo a los usuarios de Android.
¿Cómo funciona el ataque del "Lector Fantasma"?
El problema reside en cómo el iPhone identifica que está frente a un lector de transporte público. Para que el proceso sea instantáneo, el "Modo Express" emite una señal de baja energía que busca una respuesta específica del torno.
Los atacantes han logrado crear un dispositivo portátil (que cabe en una mochila o un bolsillo) que emula la señal de un lector de metro. Al acercarse a una víctima en un vagón concurrido o en una escalera mecánica, el dispositivo engaña al iPhone haciéndole creer que está pasando por un torno. El teléfono autoriza entonces un pago por el importe máximo permitido en el transporte público (que en 2026 ronda los 30-50 euros dependiendo de la ciudad) sin que el usuario tenga que confirmar nada.
¿Por qué Android no tiene este problema?
A diferencia de Apple, el sistema de Google Pay (ahora Wallet) para transporte utiliza un protocolo de "handshake" (saludo) que requiere una confirmación de proximidad mucho más estricta y, en muchos casos, una validación del entorno de red. Además, Android gestiona los identificadores de tránsito de forma que no responden a peticiones que no provengan de lectores con certificados de seguridad oficiales previamente cacheados.
Es un recordatorio de que la arquitectura "cerrada" de Apple, centrada en la velocidad absoluta, a veces sacrifica capas de verificación que la arquitectura más modular de Android sí mantiene.
Cómo protegerte hoy mismo si tienes un iPhone
Hasta que Apple lance un parche que solucione esta forma de comunicación (se espera para finales de mes), en Techmentoria recomendamos tomar estas medidas de precaución:
- Desactiva el Modo Express: Ve a Cartera (Wallet) > Selecciona tu tarjeta de transporte > Pulsa en los tres puntos > Ajustes de Tarjeta de Transporte Express y ponlo en "Ninguna". Tendrás que usar FaceID para pagar en el metro, pero estarás 100% seguro.
- Usa una funda con blindaje RFID: Si quieres mantener la función activada, usa una funda que bloquee las señales electromagnéticas. De esta forma, el iPhone solo se comunicará con el lector cuando tú lo saques físicamente de la funda para acercarlo al torno.
- Configura alertas de pago inmediatas: Asegúrate de tener activadas las notificaciones de tu banco para cada gasto. Si recibes un cargo de "Metro" mientras estás sentado en el sofá de tu casa, podrás reclamarlo al instante.
El futuro de los pagos por proximidad
Este fallo pone en duda la tendencia de "pagos sin contacto invisibles" que la industria está impulsando para mediados de esta década. En Techmentoria creemos que la seguridad absoluta siempre requerirá un gesto consciente del usuario (biometría o un botón físico). La tecnología debe facilitarnos la vida, pero nunca a costa de dejar nuestra cartera abierta digitalmente.
[!IMPORTANT]
Este ataque requiere una proximidad física muy cercana (menos de 10-15 cm). Si llevas tu teléfono en el interior de un bolso o en el bolsillo delantero del pantalón y mantienes una distancia prudencial con desconocidos, el riesgo se reduce drásticamente.
Preguntas Frecuentes (FAQ)
¿Me han podido robar dinero sin darme cuenta? Revisa tus movimientos bancarios de los últimos días bajo el concepto de "Transporte" o "Transit". Si ves cargos duplicados o en horarios donde no usaste el metro, podrías haber sido víctima de este exploit.
¿Se soluciona con una actualización de software? Sí, Apple ya está trabajando en una mejora del protocolo que requerirá que el iPhone detecte una firma digital del lector más compleja antes de autorizar el pago sin biometría.
¿Afecta a todas las tarjetas o solo a las de transporte? Solo afecta a las que tienes configuradas específicamente en el "Modo Express". Tus tarjetas bancarias normales siempre requieren FaceID o PIN y están totalmente a salvo de este ataque.
¿Afecta al Apple Watch? Sí, el Apple Watch también tiene Modo Express y es susceptible al mismo tipo de engaño por proximidad si lo llevas expuesto.
¿Prefieres la comodidad de pasar sin mirar o la seguridad de desbloquear cada pago? Cuéntanos si vas a seguir usando el Modo Express tras conocer esta noticia.
Te puede interesar:
