Cómo funciona un cajero automático virtual (sin tarjeta, con código QR y biometría)

Banca digital · Pagos sin contacto · Actualizado 2025 · Lectura: ~9 min

¿Alguna vez has salido de casa sin tu tarjeta bancaria y has necesitado efectivo? Los cajeros automáticos virtuales (también llamados cajeros sin tarjeta o cajeros con código QR) permiten retirar dinero utilizando solo tu móvil, a través de la app del banco. La tecnología combina encriptación de extremo a extremo, códigos QR dinámicos, autenticación biométrica y comunicación segura con el cajero para dispensar el efectivo sin necesidad de una tarjeta física. Te explico cómo funciona paso a paso, qué bancos lo ofrecen y qué medidas de seguridad evitan que alguien robe tu retirada.

01 / Definición

¿Qué es un cajero automático virtual? Diferencias con el tradicional

Un cajero automático virtual no es una máquina diferente: es un cajero estándar (de los que ya existen en la calle) al que se le ha añadido la capacidad de operar sin tarjeta. La “virtualidad” está en que la identificación del cliente no se hace mediante el chip o banda magnética de una tarjeta de plástico, sino mediante el teléfono móvil y la aplicación bancaria. El cajero sigue dispensando billetes físicos, pero la autorización del retiro proviene de un canal digital.

Diferencias principales con el cajero tradicional:

Sin contacto físico con la tarjeta: no introduces el plástico en la ranura, no hay riesgo de skimming (lectura clonadora).
Autenticación biométrica en el móvil: para autorizar la operación usas huella dactilar, reconocimiento facial o un PIN de la app (no el PIN de la tarjeta).
Código QR dinámico: cada retiro genera un código único y de corta duración (30-60 segundos) que el cajero lee con su escáner.
Sin necesidad de llevar la cartera: solo el móvil con batería y conexión a internet (datos o WiFi).

Esta tecnología se está implantando rápidamente porque reduce el fraude por clonación, elimina el coste de reemisión de tarjetas, y ofrece comodidad a los usuarios que ya viven con el móvil como centro de su vida financiera.

No confundir con cajero solo digital (sin ventanilla)

Algunos bancos online no tienen oficinas, pero sus cajeros virtuales son los de la red de colaboradores (Euro 6000, Servired, etc.). El término “cajero virtual” en este artículo se refiere a la capacidad de operar sin tarjeta, no a una máquina que no existe físicamente. También hay “cajeros reversibles” que permiten tanto tarjeta como QR.

02 / Tecnologías

Tecnologías implicadas: QR, NFC, Bluetooth y biometría

Para que un cajero entienda que eres tú sin tarjeta, se usan varios estándares. Los más comunes son:

Código QR dinámico: El método más extendido. La app genera un QR que contiene un token cifrado con los parámetros de la operación (importe, cuenta, número de cajero, timestamp). El cajero lo lee con su cámara (la misma que antes se usaba para leer códigos de barras de depósitos).
NFC (Near Field Communication): Como pagar con el móvil en un datáfono, acercas el teléfono al lector NFC del cajero (emisor de campos). El intercambio de credenciales se hace por radio a corta distancia (<4 cm).
Bluetooth de baja energía (BLE): Algunos cajeros detectan tu móvil por Bluetooth cuando te acercas y establecen un canal seguro. Es menos usado por problemas de interferencias.
Reconocimiento facial opcional: Algunos bancos (BBVA, CaixaBank) han probado la retirada con reconocimiento facial en el propio cajero (cámara integrada), pero requiere que el banco tenga registrada tu biometría y una buena iluminación. Es menos común que el QR.

En la práctica, la mayoría de los cajeros virtuales usan QR generado en la app y leído por el cajero. La app del banco se encarga de autenticarte primero con tu biometría local (Face ID, huella) o PIN de la app. Sin esa autenticación previa, no se puede generar el QR.

03 / Flujo de funcionamiento

Flujo de funcionamiento paso a paso: de la app al efectivo

Iniciar sesión en la app bancaria Abres la app de tu banco. Te identificas con huella dactilar, reconocimiento facial o un código de 4-6 dígitos (método biométrico seguro).

Seleccionar la opción “retirar sin tarjeta” o “cajero virtual” Dentro de la app, eliges la cuenta de la que quieres retirar, el importe y algunos bancos permiten seleccionar el cajero concreto (geolocalización) o dejar que lo escojas al llegar.

Generación de código QR (token de un solo uso) El servidor del banco genera un token cifrado que contiene: número de operación, importe, cuenta de cargo, tiempo de validez (30-60 segundos) y un hash (firma digital). La app muestra el QR en pantalla.

Acercar el móvil al cajero y escanear el QR En la pantalla del cajero, seleccionas “retiro sin tarjeta”. El cajero activa su cámara de lectura de QR. Acercas el móvil a una distancia de 10-20 cm para que el cajero lea el código. La lectura captura el token.

Validación del token por el cajero y el banco El cajero envía el token al servidor de la entidad, que verifica que no esté caducado ni ya usado, que el importe no exceda límites diarios, y que la cuenta tenga fondos. Si todo es correcto, autoriza la dispensación.

Dispensación del efectivo El cajero expulsa los billetes por la bandeja igual que en un retiro normal. El usuario recoge el dinero. El token queda marcado como usado y no puede volver a emplearse (toque de un solo uso).

El tiempo total de la operación, desde que abres la app hasta que tienes el dinero, suele ser de 30 a 60 segundos, ligeramente más que con tarjeta física pero muy competitivo. Además, el QR caduca en menos de un minuto por motivos de seguridad: si alguien te hace una foto al QR, no le dará tiempo a usarlo porque caducará antes de que llegue al cajero.

04 / Seguridad

Seguridad y encriptación: tokens de un solo uso (OTP) y autenticación robusta

La seguridad de los cajeros virtuales se basa en varios pilares técnicos:

Tokenización de un solo uso (OTP – One Time Password): El token que viaja en el QR no es reutilizable. Cada retiro genera un código completamente nuevo, que además contiene una firma digital calculada con claves privadas (criptografía asimétrica – RSA o ECC). Si un atacante intercepta el token, no puede modificarlo para cambiar el importe o la cuenta destino porque invalidaría la firma.
Cifrado extremo a extremo (TLS 1.3): Tanto la comunicación app ↔ servidor como cajero ↔ servidor usan TLS con certificados, evitando ataques man-in-the-middle.
Límites de retiro reducidos por defecto: Los bancos establecen límites diarios más bajos para retiros sin tarjeta (normalmente 150-300 €) en comparación con la tarjeta física (600-1200 €). Esto reduce el riesgo en caso de robo del móvil.
Autenticación previa obligatoria: Para generar el QR, la app exige autenticación biométrica (huella o face ID) o un PIN de la app diferente del PIN de la tarjeta. Si alguien te roba el móvil desbloqueado, aún necesitaría tu biometría.
Geolocalización opcional: Algunos bancos verifican que la ubicación del móvil coincida aproximadamente con la del cajero (dentro de unos metros) antes de autorizar la operación. Si alguien intenta usar un QR generado en Madrid en un cajero de Barcelona, el sistema lo rechazaría.

En caso de pérdida del móvil, el usuario puede desactivar el acceso a la banca online desde otro dispositivo, igual que se haría con una tarjeta perdida. Además, el retiro sin tarjeta no expone el número de cuenta ni el PIN al cajero, eliminando el riesgo de skimming.

Comparativa de riesgos: cajero virtual vs. tarjeta física

Clonación (skimming): Virtual no es vulnerable porque no hay banda magnética ni chip a copiar. QR es único.
Robo de PIN: El PIN de la tarjeta puede ser observado al teclearlo. En el cajero virtual no teclean PIN; la autenticación es biométrica en el móvil.
Man-in-the-middle: El cifrado TLS impide la intercepción. El QR caduca rápido.
Suplantación con foto del QR: Caduca en menos de un minuto, difícil de usar por un atacante si no está en el cajero exacto en ese momento.

05 / Implementación bancaria

Bancos y su implementación: CaixaBank, BBVA, Santander, ING y otras entidades

En España, la mayoría de las grandes entidades ya ofrecen retirada sin tarjeta, aunque con diferente grado de implantación y tecnología:

Banco	Tecnología principal	Límite sin tarjeta (€/día)	Red de cajeros compatible
CaixaBank	QR + NFC (CaixaBank Now)	300	Cajeros CaixaBank
BBVA	QR (BBVA sin tarjeta)	250	Red BBVA y Servired
Santander	QR + SuperToken (app)	200	Cajeros Santander
ING	QR (retiro con código)	300	Red Euro 6000
Bankinter	QR (App Bankinter)	250	Bankinter y red colaboradora
Unicaja	QR (retiro sin tarjeta)	300	Cajeros Unicaja

Además, la mayoría de estos bancos permiten retirar sin tarjeta incluso si el cajero no es de la misma entidad (siempre que el cajero tenga lector de QR y la red admita operaciones interbancarias virtuales). Sin embargo, es común que la funcionalidad esté limitada a los cajeros de la propia red de la entidad. Antes de salir, verifica en la app que el cajero más cercano dispone de la función “retiro sin tarjeta” (suele indicarse con un icono de teléfono o QR).

06 / Límites y requisitos

Límites, comisiones y requisitos técnicos

Para usar un cajero virtual necesitas:

Móvil con batería y conexión a internet (los QR se generan online, no offline). Si no tienes cobertura de datos, la mayoría de las apps no podrán generar el código.
App bancaria actualizada que incluya la funcionalidad de retiro sin tarjeta. Es posible que tengas que activarla en los ajustes de seguridad de la app (registro biométrico).
Tarjeta de débito o cuenta asociada con fondos suficientes. El retiro virtual no es un préstamo; sale del saldo de tu cuenta.

Los límites habituales son:

Importe máximo por operación: 100-300 € (depende del banco). En BBVA, por ejemplo, 250 €; en CaixaBank 300 €; en ING 300 €.
Límite diario acumulado: suele ser el mismo que el de la tarjeta de débito (400-1000 €), pero para retiros sin tarjeta a menudo es un sub-límite independiente más restrictivo (250-300 €).
Número máximo de retiros sin tarjeta al día: normalmente 1 o 2, para evitar abusos.

Respecto a comisiones: la mayoría de los bancos no cobran por retirar sin tarjeta en sus propios cajeros si la cuenta tiene la tarjeta de débito asociada (es un servicio gratuito). En cajeros de otras redes, puede aplicarse la misma comisión que si usarás la tarjeta (por ejemplo, 1-2 €). Consulta el tarifario de tu entidad.

07 / Tokenización vs tarjeta

Tokenización vs. tarjeta física: ¿es más seguro?

La tokenización es el proceso de sustituir el número de tarjeta (PAN) por un token digital único para cada transacción. En los cajeros virtuales, todo el mecanismo es tokenizado: el QR contiene un token que representa la autorización de retiro, no los datos de la cuenta. El token es generado por el banco y solo es válido para esa operación.

En cambio, la tarjeta física expone el PAN cada vez que la introduces en un cajero o datáfono, y aunque los cajeros modernos leen el chip que es más seguro que la banda magnética, el chip también puede ser vulnerado con técnicas avanzadas (aunque muy difíciles de replicar). La tarjeta además requiere teclear el PIN, que el usuario puede revelar sin querer o ser capturado por una cámara oculta. El cajero virtual elimina tanto el riesgo de skimming como el de captura de PIN porque no se utiliza el teclado numérico del cajero para la autenticación.

Desde la perspectiva de la privacidad, el cajero virtual no almacena ningún dato del cliente en el dispositivo (cajero) más allá de la transacción puntual. El banco registra la operación como un retiro normal, pero con el campo “canal: móvil sin tarjeta”. Si pierdes el móvil, el riesgo es que alguien pueda iniciar sesión en tu app y generar un QR; pero para ello necesita tu huella o Face ID (que es difícil de vulnerar). En Android, además, se puede bloquear el dispositivo de forma remota con Buscar mi dispositivo de Google.

El futuro: cajeros con reconocimiento facial sin móvil

Algunos bancos chinos (Alipay, WeChat Pay) y experimentos en Europa prueban cajeros con cámara de reconocimiento facial que vincula tu rostro a tu cuenta bancaria. Entonces el retiro se hace sin móvil ni tarjeta: solo pones tu cara frente al cajero, ingresas un PIN en pantalla (opcional) y retiras efectivo. Esto sería aún más rápido, pero plantea desafíos de privacidad (almacenamiento de datos biométricos) y fraude de suplantación con fotos o máscaras. Por ahora, el QR con móvil sigue siendo el estándar más equilibrado.

08 / FAQ

Preguntas frecuentes sobre cajeros virtuales

¿Puedo retirar en cualquier cajero o solo en los de mi banco?

Depende del banco y del acuerdo con redes. CaixaBank solo permite retiros sin tarjeta en sus cajeros propios. BBVA permite algunos de su red y de la red Servired (más amplia). ING permite retiros sin tarjeta en la red Euro 6000. Antes de salir, desde la app puedes consultar los cajeros compatibles cercanos (suelen tener un icono de teléfono móvil o “retiro sin tarjeta”).

¿Qué pasa si pierdo el móvil con la app abierta?

Si tu móvil está bloqueado, necesitas la huella o Face ID para desbloquearlo y acceder a la app. Si el móvil está desbloqueado pero la app requiere autenticación biométrica de nuevo (la mayoría pide huella o PIN de la app cada vez que se va a realizar una operación sensible como generar un QR), un extraño no podrá generar el código. No obstante, debes bloquear tu móvil remotamente con “Buscar mi dispositivo” de Google o iCloud, y además puedes contactar con tu banco para desactivar el acceso a la banca online desde ese terminal.

¿Hay coste por retirar sin tarjeta?

En general, no, si usas un cajero de tu propia entidad y tienes una cuenta con tarjeta de débito activa. Algunos bancos podrían aplicar una comisión por el uso de este servicio si no alcanzas ciertos requisitos (por ejemplo, ser cliente del banco pero sin nómina). La mayoría de los grandes bancos lo incluyen como servicio gratuito para competir con la banca online. En cajeros de otras redes, el coste es el mismo que con tarjeta física (suele ser 1,5-3 € por retiro).

¿Necesito tener la tarjeta física activada para poder usar el cajero virtual?

En la mayoría de los bancos, sí. El cajero virtual es una extensión de la tarjeta de débito asociada a tu cuenta. Si la tarjeta está bloqueada por pérdida o caducada, probablemente el retiro sin tarjeta tampoco funcione. La app verificará que la tarjeta asociada está activa. No obstante, algunos neobancos (Revolut, N26) permiten retirar sin tarjeta aunque no hayas recibido el plástico, usando una tarjeta virtual; eso depende de la entidad.

¿Puede un cajero virtual quedarse sin billetes como un cajero normal?

Sí, los cajeros virtuales son cajeros físicos normales; si se quedan sin efectivo, no podrás retirar, igual que con tarjeta. La app del banco no sabe en tiempo real el nivel de efectivo del cajero específico (excepto algunos sistemas avanzados), por lo que es posible que generes el QR, llegues al cajero y descubras que no tiene dinero. En ese caso, el QR no será válido en otro cajero (si el banco lo permite, algunos admiten reutilización en otro cajero dentro de unos minutos). El efectivo seguirá en tu cuenta sin descontarse hasta que se complete la dispensación.

Sigue aprendiendo sobre tecnología financiera

Fuentes y referencias técnicas

BBVA. (2024). Funcionamiento de retiros sin tarjeta en la app BBVA España.

CaixaBank. (2024). CaixaBankNow: retirada de efectivo sin tarjeta – Seguridad.

Banco de España. (2023). Informe sobre medios de pago digitales y autenticación fuerte (SCA).

PCI Security Standards Council. (2022). Tokenization Guidelines v3.0.

Eurosystem (ECB). (2024). Study on consumer payment habits in the euro area (SPACE).