Cómo funciona el pago con NFC (Near Field Communication)

Por /
Pagos sin contacto · Seguridad · Actualizado 2026 · Lectura: ~9 min

Cuando acercas tu móvil o tarjeta a un datáfono y el pago se realiza en un segundo, estás usando NFC (Near Field Communication). No es magia: es una comunicación por radio de muy corto alcance (unos 4 cm) que emula el comportamiento de una tarjeta bancaria. El mecanismo es ultrarrápido, seguro por diseño (tokenización) y no requiere que el móvil tenga batería si usas la tarjeta física. Te explico la física detrás, cómo se autentica el pago, qué pasa con tus datos y por qué es más seguro que usar la banda magnética.

01 / Definición NFC

¿Qué es NFC? Frecuencia, alcance y modos de operación

NFC (Near Field Communication) es una tecnología de comunicación inalámbrica de cortísimo alcance, derivada de la RFID (identificación por radiofrecuencia). Opera a 13,56 MHz y su alcance máximo es de unos 4-5 cm (razón: evitar interferencias y lecturas accidentales). A diferencia del Bluetooth (que puede llegar a 10 m), el NFC está diseñado para intercambiar datos solo cuando los dispositivos están muy próximos, lo que lo hace ideal para pagos porque reduces el riesgo de interceptación.

Existen tres modos de operación en NFC:

  • Modo lector/escritor: un dispositivo activo (móvil) lee información de una etiqueta NFC (ej. cartel informativo, código de producto).
  • Modo punto a punto: dos dispositivos NFC intercambian datos (ej. compartir fotos, emparejar auriculares).
  • Modo emulación de tarjeta: es el modo usado para pagos: el móvil se comporta como una tarjeta bancaria sin contacto ante un datáfono (terminal de pago).

En un pago NFC, el datáfono actúa como lector (campo activo) y el móvil o tarjeta actúa como pasivo (no necesita batería para comunicarse, aunque el móvil sí necesita batería para ejecutar la app de pago). La comunicación es half-duplex y muy rápida (típicamente menos de 100 ms para el intercambio de datos criptográficos).

¿Qué diferencia NFC de RFID?

RFID es el estándar más amplio (baja frecuencia, alta frecuencia, ultra alta). NFC es un subconjunto de la alta frecuencia (13,56 MHz) que añade capacidades bidireccionales y modos de comunicación. Todas las tarjetas de pago sin contacto usan NFC, y los datáfonos cumplen con el estándar ISO/IEC 14443 (tipo A/B). El móvil emula ese protocolo.

02 / Emulación de tarjeta

Modo emulación de tarjeta: cómo el móvil “se hace pasar” por una tarjeta física

Cuando configuras Google Pay o Apple Pay, el móvil (a través de su chip NFC) crea una representación virtual de una tarjeta de crédito/débito. El proceso de emulación se basa en el estándar Host Card Emulation (HCE) o en el Elemento Seguro (eSE) integrado en el procesador del móvil:

  • HCE (Android): la app de pagos simula la tarjeta sin necesidad de un chip de seguridad dedicado (el propio sistema operativo maneja la comunicación). Sin embargo, las credenciales sensibles se almacenan en un entorno seguro (Trusted Execution Environment) del teléfono, separado del sistema operativo principal.
  • Elemento Seguro (eSE) en Apple Pay: Apple usa un chip dedicado (Secure Element) que almacena las claves y tokens fuera del alcance del sistema operativo. Se considera más seguro, porque incluso si el móvil está con jailbreak, el chip no se ve comprometido.

Cuando acercas el móvil al datáfono, el terminal envía una instrucción “selecciona aplicación de pago”. El móvil responde con el identificador de la tarjeta virtual (no el número real). A continuación, el datáfono solicita los datos de la transacción (importe, moneda, número de transacción) y el proceso de autenticación (criptografía) ocurre en milisegundos.

03 / Tokenización

La tokenización: por qué el comercio nunca ve tu número de tarjeta real

Uno de los mayores avances de seguridad de NFC es la tokenización. En lugar de transmitir tu número de tarjeta (PAN, Primary Account Number), el sistema reemplaza el PAN por un token (código digital único) que solo es válido para ese comercio, esa transacción o ese dispositivo. El token no tiene valor fuera del contexto específico.

Cómo se genera el token:

  1. Cuando registras tu tarjeta en Google Pay, el banco emisor (o la red de pagos, Visa/Mastercard) genera un token y lo asocia a tu dispositivo. El token se almacena en el elemento seguro del teléfono.
  2. Al pagar, el teléfono entrega el token al datáfono, no el PAN real. El datáfono envía el token al procesador de pagos, que lo des-tokeniza mediante un servicio de tokenización (Visa Token Service, Mastercard Digital Enablement Service, etc.) y obtiene el PAN real para autorizar la transacción con el banco emisor.
  3. El comercio nunca ve el PAN, solo un token. Si el comercio es hackeado, los tokens robados no pueden usarse en otro lugar.

El token puede ser:

  • Estático (para ese dispositivo): mismo token para todas las transacciones, pero sigue siendo inútil fuera del ecosistema autorizado.
  • Dinámico (por transacción): algunos sistemas generan un token por cada pago (más seguro, pero menos usado por complejidad).

La tokenización también se aplica a las tarjetas físicas sin contacto (contactless) implementadas recientemente (Visa Cloud Token Framework), aunque aún no es universal. En las tarjetas más antiguas, el PAN se transmite estáticamente (riesgo limitado por la necesidad de proximidad física).

Autorización sin conexión: ¿qué pasa cuando el datáfono está offline?

En algunos escenarios (transporte público, máquinas expendedoras), el datáfono no puede contactar con el banco en tiempo real. El pago se autoriza offline mediante un límite de riesgo (por ejemplo, 50 €). El sistema usa criptografía asimétrica y listas negras almacenadas localmente para evitar fraudes. La transacción se sincroniza más tarde.

04 / Protocolo EMVCo

Intercambio de datos: protocolo EMVCo y la autenticación del pago

Los pagos NFC siguen el estándar EMVCo (Europay, Mastercard, Visa) para transacciones sin contacto. El flujo técnico (simplificado):

  1. Selección de aplicación: El datáfono envía un comando “SELECT” para que el móvil (o tarjeta) indique qué aplicación de pago está disponible (Visa payWave, Mastercard Contactless, etc.).
  2. Intercambio de datos de la aplicación: Se transmiten los datos del token, el número de transacción (ATC), y otros elementos (criptograma).
  3. Autenticación del tarjetahabiente: Para pagos superiores a un límite sin autenticación (CVM Consumer Verification Method), el terminal puede pedir un PIN (en tarjeta física) o la autenticación biométrica en el móvil (huella, cara). En pagos pequeños (hasta 50 € en Europa), no se requiere CVM (modo “sin contacto de bajo valor”).
  4. Generación de criptograma: El teléfono/tarjeta calcula un código cifrado (Criptograma de Autorización) usando claves secretas que solo conoce el emisor. Este criptograma se envía al datáfono junto con el token y otros datos.
  5. Autorización online: El datáfono envía el paquete al procesador de pagos, que reenvía al banco emisor. El banco verifica el criptograma, comprueba fondos, y responde “aprobado” o “denegado”.
  6. Confirmación: El datáfono muestra “aprobado” y emite el comprobante (si es necesario). En el móvil, la app de pagos muestra la notificación.

Todo el proceso, desde que acercas el móvil hasta que oyes el pitido, dura entre 200 y 500 ms en condiciones óptimas.

05 / Seguridad del NFC

¿Pueden robar el pago por NFC? Límites, protección y fraudes conocidos

A pesar de los mitos, el pago NFC es muy seguro por varias razones:

  • Alcance muy corto (4 cm): un atacante necesitaría tener un lector a esa distancia, rozando tu bolsillo o cartera, lo cual es muy difícil sin que lo notes. Además, las tarjetas tienen protección anti-skimming: no responden si hay más de una tarjeta juntas.
  • Límite de pago sin PIN: en la UE, el límite sin autenticación es generalmente 50 € (puede variar). Por encima, el datáfono pide el PIN (tarjeta) o autenticación en el móvil (biometría). Eso limita las pérdidas en caso de robo de tarjeta o móvil.
  • Tokenización: como se explicó, el número real de tarjeta no se expone. El token robado no sirve para hacer pagos en otros comercios.
  • Protección contra lectura remota: las tarjetas modernas (y los móviles) no emiten señal activa si no están cerca de un lector legítimo. Un atacante con una antena oculta no puede “barrer” carteras a distancia (contra mito popular).

¿Se ha dado algún fraude con NFC? Muy pocos casos, principalmente relacionados con tarjetas perdidas (no con clonación). Los delincuentes pueden hacer compras pequeñas (hasta el límite sin PIN) si roban la tarjeta física y la usan antes de que la víctima la bloquee. Para evitarlo, los bancos ofrecen notificaciones push al instante y el usuario puede bloquear la tarjeta desde la app. En España, según el Banco de España, el fraude en pagos sin contacto representa menos del 0,01% del volumen transaccionado.

¿Es seguro llevar el móvil con NFC activado?

Sí. El NFC solo se activa cuando la pantalla está desbloqueada y acercas el móvil a un datáfono (en Google/Apple Pay). Incluso si alguien se acerca con un datáfono fraudulento, necesitaría que el móvil esté desbloqueado y que la app de pagos esté activa (lo que no ocurre a menos que el usuario la abra). En muchas implementaciones, la app de pago requiere autenticación antes de iniciar la comunicación.

06 / Pago con móvil vs tarjeta física

Pago con móvil vs tarjeta física: diferencias (Google Pay, Apple Pay, Samsung Pay)

Principales diferencias entre usar el móvil y la tarjeta física para pagos NFC:

CaracterísticaTarjeta física sin contactoMóvil (Google Pay / Apple Pay)
Autenticación
No requiere autenticación hasta 50 €; por encima pide PIN (tarjeta) o
Autenticación biométrica obligatoria en cada pago (huella/Face ID) – el límite sin autenticación depende del banco, pero suele ser más alto porque la biometría ya se considera CVM.
Tokenización
En tarjetas recientes, sí, con token estático por tarjeta.
Sí, token dinámico por dispositivo y a veces por transacción.
Compatibilidad
Prácticamente todos los datáfonos con contactless.
Idem. Además, Samsung Pay también emula banda magnética (MST) para terminales antiguos (ya en desuso).
Comodidad
Requiere llevar la tarjeta física.
Ventaja: no necesitas la tarjeta, pero necesitas el móvil con batería y que funcione el NFC. En algunos móviles se puede pagar con batería agotada si hay reserva (solo en algunos modelos de iPhone con power reserve).

Google Pay y Apple Pay son esencialmente equivalentes en funcionalidad. En España, la mayoría de bancos soportan ambos (CaixaBank, BBVA, Santander, ING, etc.). Para usarlos, tienes que agregar tus tarjetas en el wallet del móvil; el banco puede requerir una llamada de verificación o usar la app del banco.

07 / NFC vs QR

NFC vs código QR: ventajas e inconvenientes de cada tecnología

El código QR (p. ej., en Bizum, transferencias, o en sistemas de pago en países como China) es la alternativa al NFC para pagos sin contacto, pero funciona de manera diferente:

  • NFC: el usuario acerca su móvil a un datáfono; la comunicación es bidireccional y se completa en milisegundos. No necesita abrir una app específica de pago (solo tener la wallet configurada). Es más cómodo para transacciones rápidas en tiendas físicas.
  • Código QR: el usuario escanea un código estático o dinámico con la cámara del móvil, lo que abre una app de pago (o el navegador) para confirmar la transacción. En la variante “QR de inicio” (el comercio muestra el código y el cliente lo escanea) la experiencia es más lenta (varios segundos). En la variante “QR generado por el cliente” (el cliente muestra un código al lector óptico) puede ser más rápido pero requiere pantalla de móvil iluminada.

Ventajas del QR: no requiere hardware especial en el teléfono (solo cámara), lo que lo hace accesible en móviles de gama baja sin NFC; también es más barato para comercios (no necesitan datáfono, solo una impresión de papel). Desventajas: menor velocidad, menos seguridad (por escaneo de códigos maliciosos, aunque con TLS mitigado), y peor experiencia de usuario en entornos de alta afluencia (metro, supermercado).

En España dominan los pagos NFC (con tarjeta o móvil) para comercios físicos, mientras que el QR se usa para transferencias de persona a persona (Bizum compartiendo enlace) o para pagos en comercios pequeños de hostelería (con código QR estático). La tendencia es hacia el NFC por rapidez, aunque el QR sigue siendo relevante en países emergentes (China: WeChat Pay, Alipay).

08 / FAQ

Preguntas frecuentes sobre pago NFC

¿Pueden hackear el NFC de mi tarjeta y hacer pagos sin que me dé cuenta?
Es extremadamente improbable. Un atacante tendría que acercar un terminal fraudulento a menos de 4 cm de tu tarjeta durante un tiempo suficiente, y pasar desapercibido. Además, la mayoría de las tarjetas incorporan tecnología anti-skimming que requiere que el terminal esté certificado. En laboratorio se han demostrado ataques, pero en la vida real son casi inexistentes. Las carteras con RFID-blocking (que bloquean las frecuencias de 13,56 MHz) ofrecen tranquilidad extra si eres muy precavido, aunque es una protección más orientada a lectores de larga distancia (que no existen para NFC). La recomendación oficial del Banco de España es que no hace falta comprar carteras blindadas.
¿Cuánto dinero puedo pagar con NFC sin tener que introducir el PIN?
En la zona SEPA, el límite estándar para pagos sin contacto con tarjeta física es de 50 € por operación, y hasta un acumulado de 150 € sin PIN (luego el terminal fuerza el PIN). Con móvil (Google/Apple Pay), la autenticación es biométrica (huella o Face ID) en cada pago, por lo que no hay límite sin autenticación, aunque algunos bancos pueden requerir el PIN de la tarjeta para transacciones muy grandes (>200-300 €). El banco puede establecer sus propios límites.
¿Funciona el pago NFC si el móvil no tiene batería?
En la mayoría de los Android no; el NFC se desactiva cuando se apaga el móvil o la batería está agotada. Algunos iPhones (XR, XS y posteriores) tienen una función llamada “reserva de energía” que permite pagos con NFC hasta 5 horas después de que la batería se agote, siempre que no hayas apagado manualmente el dispositivo. Depende de cada modelo. Por seguridad, es mejor no confiar en esta función y mantener el móvil cargado.
¿Puedo usar NFC para pagar si tengo una funda metálica?
Las fundas metálicas o con imanes pueden interferir con la comunicación NFC, bloqueando la señal. Para que funcione, la funda no debe cubrir la zona donde está la antena NFC (normalmente en la parte trasera superior del móvil). Las fundas de plástico, cuero o silicona no interfieren. Si tienes problemas de lectura, intenta quitar la funda temporalmente para confirmar.
¿Es necesario tener datos móviles para pagar con NFC?
No. El intercambio NFC se realiza a través de radiofrecuencia, sin necesidad de internet. Sin embargo, para la primera activación de la tarjeta en el wallet y para consultar saldos o recibir notificaciones, puede ser necesario datos. En el momento de pagar, el móvil solo necesita tener la batería y la app de pagos configurada; no requiere conexión a internet (los tokens y criptogramas se generan offline).

Sigue aprendiendo sobre tecnología financiera

Banca digital Cómo funciona la banca online Banca digital Cómo funciona un cajero automático virtual Criptomonedas Cómo funciona un monedero digital Finanzas Cómo funciona un préstamo online

Fuentes y referencias técnicas

EMVCo. (2023). EMV Contactless Specifications for Payment Systems v3.0.
Google. (2025). Google Pay API Architecture and Security.
Apple Inc. (2025). Apple Pay Security and Privacy Overview.
Visa. (2024). Visa Token Service – Technical White Paper.
Banco de España. (2025). Seguridad en medios de pago sin contacto: NFC vs QR.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio