FatGPS

Celular robado con Apple Pay o Google Wallet: bloqueo en 10 minutos

Apple Pay y Google Wallet siguen activos en un celular robado desbloqueado. Secuencia para cancelar tarjetas y tokens antes de que empiecen los cargos.

Cartera de piel abierta y vacía junto a un torniquete de metro, iluminación urbana de transporte, estética documental de urgencia
En esta página 9 secciones
¿Te acaban de robar? No persigas al ladrón. Ve a un lugar seguro, pide prestado un celular o busca una computadora, y sigue los pasos a continuación en orden. Si estás en peligro inmediato, llama al 911 antes de seguir leyendo.

Un celular robado con Apple Pay o Google Wallet activo es una terminal de pago sin contacto en manos equivocadas. Un ladrón que agarre tu iPhone desbloqueado en un bar lleno puede comprar en cualquier terminal NFC antes de que vuelvas a tu mesa. La secuencia de bloqueo de 10 minutos que sigue cierra todos los canales de pago en el orden correcto: detiene los cargos sin destruir tu mejor herramienta de recuperación.

Guía completa para recuperar un celular robado

Lo más importante

  • Los tokens de Apple Pay (DPAN) siguen válidos en un iPhone robado y desbloqueado hasta que marcas el dispositivo como perdido desde Buscar
  • Las tarjetas de Transporte Exprés (OMNY en Nueva York, contactless en Londres, Suica en Tokio, Clipper en San Francisco) funcionan con la pantalla bloqueada o apagada, sin ninguna autenticación
  • Borrar el iPhone cancela los tokens de Apple Pay pero también mata el rastreo del Modo Perdido; el orden importa
  • La Protección de dispositivo robado de iOS 17.3 agrega un retraso de una hora para cambios en la cartera, pero solo en ubicaciones desconocidas
  • Google Wallet se puede suspender a distancia desde wallet.google.com en cualquier navegador en menos de dos minutos
  • Las políticas de Responsabilidad Cero de Visa y Mastercard cubren el fraude por contacto en tarjetas de crédito vinculadas a un dispositivo robado

Por qué Apple Pay y Google Wallet siguen funcionando tras el robo

Ni Apple Pay ni Google Wallet almacena el número real de tu tarjeta en el celular. Ambos sistemas usan un Device Primary Account Number (DPAN), un sustituto tokenizado generado por Visa Token Service o Mastercard Digital Enablement Service (MDES). Ese DPAN es lo que se transmite a la terminal de pago. Tu número de tarjeta real de 16 dígitos nunca sale de los servidores de la red de pagos.

Esa arquitectura es excelente para la seguridad en condiciones normales. En un robo es un problema, porque el DPAN sigue funcionando hasta que alguien lo suspende. La terminal no puede distinguir entre tú pagando con tu propio celular y el ladrón haciendo lo mismo. La autenticación ocurre en el dispositivo antes del pago, no en la terminal.

En un celular que ya estaba desbloqueado, no queda ningún paso de autenticación. El ladrón desliza, acerca el celular y la terminal aprueba. El banco ve un DPAN válido, un dispositivo reconocido y un token legítimo. La transacción se aprueba.

Los foros de soporte financiero documentan el mismo patrón una y otra vez: el dueño del celular lo pierde mientras está desbloqueado, el ladrón hace cuatro o cinco compras con Apple Pay en tiendas cercanas en 12 minutos, y el dueño se entera cuando ve las notificaciones push llegar al Apple Watch.

La secuencia de bloqueo de 10 minutos, en orden exacto

El orden importa. Hacer el paso 8 antes del paso 1 es el error más común, y cuesta la posibilidad de recuperar el equipo.

Los pasos exactos

  1. Pide prestado un celular o busca una computadora. No puedes usar el equipo robado. Pídele ayuda a alguien, entra a un café, usa cualquier pantalla con conexión a internet que encuentres.

  2. Inicia sesión en icloud.com (para iPhone) o android.com/find (para Android). Usa tus credenciales del ID de Apple o la cuenta de Google.

  3. Marca el dispositivo como Perdido (iPhone) o Bloquea el dispositivo (Android). Para iPhone: icloud.com > Buscar (Find My) > tu dispositivo > Marcar como perdido. Para Android: android.com/find > Bloquear. Este es el paso más importante. El Modo Perdido en iPhone activa el Bloqueo de activación, muestra un mensaje de contacto en pantalla y suspende Apple Pay de inmediato (soporte.apple.com/es-mx, 2024). El bloqueo remoto de Google suspende Google Wallet en el dispositivo.

  4. No borres todavía. Borrar elimina el Bloqueo de activación, que es lo único que impide al ladrón restablecer y revender el equipo. También cancela el rastreo de Buscar. Mantén el Modo Perdido activo.

  5. Abre la app de tu banco en el dispositivo prestado o entra al sitio web de tu banco. Congela o suspende cada tarjeta vinculada a Apple Pay o Google Wallet. Los bancos mexicanos con Apple Pay (BBVA, Banamex, Santander, Banorte, HSBC, Banregio, Hey Banco, Klar, Nu México) ofrecen congelamiento inmediato de tarjeta desde su app. Si tienes dudas, llama a la CONDUSEF al 55-5340-0999 para orientación.

  6. Ve a wallet.google.com (si usas Google Wallet). Inicia sesión, selecciona el dispositivo robado y da clic en Eliminar todas las tarjetas. Esto suspende todos los tokens de pago de ese dispositivo en segundos, independientemente del bloqueo del equipo.

  7. Retira las tarjetas desde icloud.com como paso adicional, incluso después del Modo Perdido. En icloud.com, ve a Configuración > desplázate hasta tu dispositivo > Wallet y Apple Pay > elimina cada tarjeta. El Modo Perdido ya debería haberlas desactivado, pero confirmar toma 30 segundos.

  8. Llama a la línea de fraudes de tu banco para cada institución cuya tarjeta tengas en la cartera digital. Reporta el robo, indica la hora aproximada y pide que marquen como no autorizadas todas las transacciones NFC sin contacto realizadas después de ese momento. Anota el número de folio de cada llamada.

  9. Cambia la contraseña de tu ID de Apple o cuenta de Google desde el dispositivo prestado. Esto revoca las sesiones de confianza e impide que el ladrón cierre el Modo Perdido desde la configuración del equipo.

  10. Retira la tarjeta de transporte por separado si tu sistema de transporte lo requiere. OMNY de Nueva York, el contactless de Londres, Suica (Tokio) y Clipper de San Francisco tienen sus propios portales de gestión donde puedes suspender la tarjeta vinculada a tu celular. El Modo Perdido puede no desactivar el Transporte Exprés de inmediato.

  11. Presenta la denuncia ante el Ministerio Público y anota el número de acta. Necesitas ese documento para cada disputa de fraude con tu banco.

  12. Llama a tu operadora para reportar el equipo como robado y solicitar el bloqueo del IMEI. En México, contacta a Telcel, AT&T México o Movistar; ellos reportan al CABEUM administrado por el Instituto Federal de Telecomunicaciones (IFT). Pide confirmación por escrito.

Guía completa de Find My iPhone

Apple Pay vs Google Wallet vs Samsung Pay: comportamiento en un dispositivo robado

Apple Pay (iPhone)Google Wallet (Android)Samsung Pay (Galaxy)
Bloqueo remotoicloud.com > Marcar como perdidoandroid.com/find > Bloquear, o wallet.google.comfindmymobile.samsung.com > Bloqueo/borrado remoto
Tiempo para desactivarMenos de 30 segundos con Modo PerdidoMenos de 60 segundos1-3 minutos
Requiere conexión en el dispositivoSí, para desactivación inmediata
Bypass de Transporte ExprésSí (pantalla bloqueada o apagada puede pagar)Sí (tarjetas configuradas)
Retraso por Protección de dispositivo robado1 hora (iOS 17.3+ en ubicación desconocida)Sin equivalenteSin equivalente
Suspensión del DPANAutomática con Modo PerdidoManual o automática con bloqueo del dispositivoAutomática con bloqueo remoto
Afecta la tarjeta físicaNo, solo el DPANNo, solo el DPANNo, solo el DPAN

Tarjetas de Transporte Exprés: la vulnerabilidad silenciosa

El Transporte Exprés es la función que permite pasar por el torniquete del metro sin encender el celular ni autenticarse. Es genuinamente útil. En un celular robado significa que el ladrón puede viajar gratis indefinidamente hasta que actúes.

OMNY en Nueva York, Clipper en San Francisco, el contactless de iPhone en Londres, la Suica de Tokio y la integración BVG de Berlín funcionan todas en modo Transporte Exprés. La tarjeta se cobra en silencio, a veces en montos tan pequeños que pasan desapercibidos en el estado de cuenta.

El consejo estándar de “marca el dispositivo como perdido” no resuelve de inmediato el problema del Transporte Exprés en todos los sistemas. Algunas redes de transporte procesan los pagos NFC en modo offline, sin consultar el estado de bloqueo del dispositivo con los servidores de Apple en tiempo real. Un ladrón en el metro puede hacer varios viajes antes de que la red sincronice.

La solución confiable: después de marcar el dispositivo como perdido, entra también al portal o app del sistema de transporte y suspende ahí directamente la tarjeta. OMNY de Nueva York: cuenta en omny.info. Suica: app de Suica o portal web de JR East. Clipper de San Francisco: clippercard.com. Contactless de Londres: contactless.tfl.gov.uk. Cada uno tarda menos de dos minutos.

Protección de dispositivo robado de iOS 17.3: qué hace y qué no

Apple introdujo la Protección de dispositivo robado en iOS 17.3 (enero de 2024) tras detectar un patrón de ladrones que espiaban el PIN antes de arrebatar el iPhone. La función exige Face ID o Touch ID (sin posibilidad de usar el PIN) para cambiar contraseñas del ID de Apple, agregar o eliminar tarjetas de pago y modificar ciertas configuraciones de la cartera. Además impone un retraso de seguridad obligatorio de una hora antes de que esos cambios se apliquen (soporte.apple.com/es-mx, 2024).

La protección se activa solo cuando el celular se detecta en un lugar desconocido. En casa o en el trabajo habitual, no aplica.

Lo que no puede hacer: no detiene una transacción que ya está autorizada. Un ladrón que agarre tu iPhone 14 desbloqueado en un concierto puede seguir haciendo compras con Apple Pay durante el retraso de una hora, porque la sesión de pago ya estaba autenticada cuando desbloqueaste el celular. La Protección de dispositivo robado es una mejora significativa, pero no reemplaza la secuencia de bloqueo remoto.

¿Se puede rastrear un celular apagado?

Las acciones remotas de Google Wallet en wallet.google.com

La interfaz de gestión remota de Google Wallet es menos conocida que Buscar, pero es más rápida para cancelar específicamente las tarjetas de pago. Desde cualquier navegador:

  1. Ve a wallet.google.com e inicia sesión con tu cuenta de Google.
  2. Da clic en el ícono de engranaje (Configuración) en la esquina superior derecha.
  3. Selecciona el dispositivo que figura como robado.
  4. Elige Eliminar todas las tarjetas del dispositivo.

Esta acción suspende todos los DPAN asociados a ese registro de dispositivo, en todas las tarjetas, sin borrar el celular. El equipo conserva su capacidad de rastreo con el Modo Perdido activo via android.com/find, que debes activar por separado. Usar ambas herramientas en secuencia es más rápido que esperar a que una sola se propague.

El registro de actividad de Google Wallet en wallet.google.com muestra cada transacción de pago sin contacto con marca de tiempo, comercio y monto. Toma captura de pantalla de esto inmediatamente después del robo. Es la evidencia más clara para la disputa con tu banco.

Cuándo borrar: lo correcto y lo que sale caro

Borrar el dispositivo es irreversible. También destruye tu mejor protección.

No borres si ya activaste el Modo Perdido (iPhone) o el bloqueo remoto (Android). Ambos estados conservan:

  • El Bloqueo de activación, que impide al ladrón restablecer y revender el equipo
  • El rastreo de ubicación de Buscar mientras el celular tenga batería y señal
  • La cadena de evidencia del historial de ubicación del dispositivo

Sí borra solo cuando hayas confirmado que el dispositivo no se va a recuperar, ya tengas el número de acta del Ministerio Público, hayas suspendido todas las tarjetas de pago a través de sus portales respectivos, y los datos importantes ya estén respaldados en iCloud o Google One por sincronización automática.

Cómo desactivar Find My iPhone antes de vender el celular

El rastro de comprobantes: cómo encontrar transacciones no autorizadas

Antes de llamar a tu banco, documenta cada transacción por tu cuenta. Eso acelera la disputa y la hace más difícil de rechazar.

Para Apple Pay: inicia sesión en icloud.com, abre Configuración, desplázate hasta el dispositivo, abre Wallet y Apple Pay y revisa las transacciones recientes por tarjeta. En cualquier otro dispositivo Apple, abre la app Wallet, toca cada tarjeta y desliza hacia abajo para ver el historial. Las transacciones incluyen nombre del comercio, monto y marca de tiempo al minuto.

Para Google Wallet: ve a wallet.google.com y selecciona Actividad en el menú izquierdo. Cada transacción NFC aparece en orden cronológico inverso. Exporta esta página como PDF antes de iniciar la disputa.

Para tarjetas de transporte: entra al portal de cuenta del sistema de transporte correspondiente. OMNY, Suica, Clipper y el contactless de TfL mantienen historiales de uso vinculados a tu registro de cuenta.

Toma capturas o imprime todo antes de contactar a tu banco. Los equipos de fraude responden más rápido cuando el cliente llega con una lista completa y con marca de tiempo, en lugar de una queja vaga sobre cargos no reconocidos.

Disputas con el banco: tus protecciones legales en México

Las políticas de Responsabilidad Cero de Visa y Responsabilidad Cero de Mastercard cubren transacciones no autorizadas sin contacto, incluidas las realizadas desde un dispositivo robado. No tienes responsabilidad por los cargos fraudulentos, siempre que los reportes de forma oportuna y no hayas actuado con negligencia grave.

Los bancos mexicanos que participan en Apple Pay (BBVA, Banamex, Santander, Banorte, HSBC, Banregio, Hey Banco, Klar y Nu México) están sujetos a las regulaciones de la Ley para la Transparencia y Ordenamiento de los Servicios Financieros y a la supervisión de la CONDUSEF (condusef.gob.mx). Si tu banco rechaza el reembolso, presenta una queja formal ante la CONDUSEF al 55-5340-0999.

El marco legal aplica también a nivel federal: el Artículo 211 bis del Código Penal Federal (CPF) tipifica el acceso ilícito a sistemas informáticos, y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) protege tus datos financieros. La Fiscalía General de la República (FGR) atiende delitos federales relacionados con fraude financiero digital.

El proceso de disputa con el banco no es automático. Necesitas el número de acta del Ministerio Público, las marcas de tiempo de las transacciones del registro de actividad de la cartera digital y una declaración escrita de cuándo y dónde ocurrió el robo. Actúa rápido: los retrasos generan ambigüedad que los bancos aprovechan para diferir el reembolso.

Para lectores fuera de México

PaísEmergenciaFraude financieroDisponibilidad Apple Pay
Argentina911BCRA / 0800-666-7872Limitada (Mercado Pago compatible)
Colombia123SFC / 01-800-091-2400Sí (Bancolombia, Davivienda, Nequi)
Chile133CMF / 600-592-6000Sí (Banco de Chile, BCI, Santander CL)
Brasil190Banco Central / 145Sí (Nubank, Itaú, Bradesco, C6 Bank)
España112Banco de España / 900-545-454Sí (amplia cobertura)

Cuando termines la secuencia de bloqueo, llama a tu operadora para reportar el IMEI como robado y activar su bloqueo en el CABEUM/IFT. En México, Telcel, AT&T México y Movistar reportan al catálogo administrado por el IFT, lo que impide que el equipo se active en cualquier red mexicana. Lleva el acta del Ministerio Público para tramitar el bloqueo formal.

La capa de pagos ya está cerrada. La capa de recuperación, rastrear el dispositivo con Buscar o Google Find My Device, es un esfuerzo paralelo que se describe en detalle en la guía completa para recuperar un celular robado.

Preguntas frecuentes

Lo que más nos preguntan

7 preguntas · Actualizado may 2026

¿Primero borro el celular o primero bloqueo la cartera digital?
Primero bloquea la cartera, siempre. Borrar el iPhone destruye el Bloqueo de activación y apaga el rastreo de Buscar, con lo que el ladrón puede restablecer el equipo y revenderlo. En su lugar, márcalo como perdido desde icloud.com/find: el Modo Perdido activa el Bloqueo de activación, muestra tu número de contacto en pantalla y suspende Apple Pay de inmediato. El bloqueo remoto de Google en android.com/find hace lo mismo con Google Wallet sin borrar el equipo. Reserva el borrado completo como último recurso, cuando ya hayas confirmado que no vas a recuperar el aparato.
¿Un ladrón puede usar Apple Pay si el celular está bloqueado?
No, si la pantalla está bloqueada y el ladrón no conoce tu PIN o contraseña. Apple Pay exige Face ID, Touch ID o el código del dispositivo en cada compra presencial estándar. La excepción es el Transporte Exprés: las tarjetas configuradas en ese modo (metro, camión, ferry) omiten la autenticación biométrica por completo. Un ladrón que agarre un iPhone bloqueado puede seguir usando el transporte indefinidamente hasta que retires esa tarjeta específica desde icloud.com o marques el dispositivo como perdido.
¿Alguien puede usar mi pase de transporte si me roba el celular?
Sí, sin ninguna autenticación. El Transporte Exprés está diseñado precisamente para funcionar con la pantalla bloqueada o apagada. La tarjeta OMNY de Nueva York, el contactless de Londres, la Suica de Tokio y el Clipper de San Francisco operan todas en modo Transporte Exprés. El ladrón no necesita Face ID, PIN ni nada: acerca el iPhone al lector y pasa. Para detenerlo, entra a icloud.com y marca el dispositivo como perdido, o abre Wallet en otro dispositivo y retira la tarjeta de transporte directamente si admite gestión remota.
¿Qué es un DPAN y por qué importa cuando te roban el celular?
DPAN son las siglas de Device Primary Account Number, el número de cuenta tokenizado que Apple Pay o Google Wallet almacena en lugar de tu número de tarjeta real de 16 dígitos. Las tiendas y los sistemas de transporte cobran al DPAN, que solo se vincula a tu tarjeta real a nivel de la red de pagos (Visa Token Service, Mastercard MDES). Tu número real nunca queda expuesto en una transacción sin contacto. Sin embargo, el DPAN funciona igual que una tarjeta real hasta que alguien lo suspende. Tu banco o el proveedor de la cartera digital puede invalidar el DPAN sin cancelar tu tarjeta física.
¿Mi banco en México me regresa el dinero por cargos de Apple Pay o Google Wallet en un celular robado?
En la gran mayoría de los casos, sí. Las políticas de Responsabilidad Cero de Visa y Mastercard cubren transacciones no autorizadas por contacto en un dispositivo robado, siempre que lo reportes de forma oportuna. Los bancos mexicanos que operan con Apple Pay (BBVA, Banamex, Santander, Banorte, HSBC, Banregio, Hey Banco, Klar, Nu México) están obligados a tratar estas operaciones como fraude. Presenta primero la denuncia ante el Ministerio Público para obtener el número de acta, y luego impugna cada cargo con tu banco citando esa referencia.
¿La Protección de dispositivo robado de iOS 17.3 evita el fraude con Apple Pay?
De forma parcial. La Protección de dispositivo robado, introducida en iOS 17.3, exige Face ID o Touch ID (sin posibilidad de usar el PIN) para cambiar contraseñas del ID de Apple, métodos de pago y ciertas configuraciones de la cartera cuando el celular se detecta en un lugar desconocido. También impone un retraso de seguridad obligatorio de una hora antes de que esos cambios se apliquen. Sin embargo, no puede detener una transacción de Apple Pay que ya está autenticada. Un ladrón que agarre tu iPhone desbloqueado en un concierto puede seguir haciendo compras con Apple Pay durante ese retraso de una hora.
¿Cómo encuentro los cargos no autorizados de Apple Pay y Google Wallet tras el robo?
Para Apple Pay: entra a icloud.com desde cualquier navegador, inicia sesión, ve a Configuración y desplázate hasta la sección Wallet para ver todas las tarjetas y la actividad reciente. En cualquier otro dispositivo Apple, abre la app Wallet, toca cada tarjeta y desliza hacia abajo para ver el historial. Para Google Wallet: ve a wallet.google.com, inicia sesión y selecciona Actividad en el menú para ver un registro cronológico completo de cada pago sin contacto. Cruza ambas fuentes con los estados de cuenta de tu banco, porque los cargos de transporte a veces aparecen como cobros pequeños y repetidos que se pierden en el historial.