Celular robado con Apple Pay o Google Wallet: bloqueo en 10 minutos
Apple Pay y Google Wallet siguen activos en un celular robado desbloqueado. Secuencia para cancelar tarjetas y tokens antes de que empiecen los cargos.
En esta página 9 secciones
- Por qué Apple Pay y Google Wallet siguen funcionando tras el robo
- La secuencia de bloqueo de 10 minutos, en orden exacto
- Apple Pay vs Google Wallet vs Samsung Pay: comportamiento en un dispositivo robado
- Tarjetas de Transporte Exprés: la vulnerabilidad silenciosa
- Protección de dispositivo robado de iOS 17.3: qué hace y qué no
- Las acciones remotas de Google Wallet en wallet.google.com
- Cuándo borrar: lo correcto y lo que sale caro
- El rastro de comprobantes: cómo encontrar transacciones no autorizadas
- Disputas con el banco: tus protecciones legales en México
Un celular robado con Apple Pay o Google Wallet activo es una terminal de pago sin contacto en manos equivocadas. Un ladrón que agarre tu iPhone desbloqueado en un bar lleno puede comprar en cualquier terminal NFC antes de que vuelvas a tu mesa. La secuencia de bloqueo de 10 minutos que sigue cierra todos los canales de pago en el orden correcto: detiene los cargos sin destruir tu mejor herramienta de recuperación.
Guía completa para recuperar un celular robado
Lo más importante
- Los tokens de Apple Pay (DPAN) siguen válidos en un iPhone robado y desbloqueado hasta que marcas el dispositivo como perdido desde Buscar
- Las tarjetas de Transporte Exprés (OMNY en Nueva York, contactless en Londres, Suica en Tokio, Clipper en San Francisco) funcionan con la pantalla bloqueada o apagada, sin ninguna autenticación
- Borrar el iPhone cancela los tokens de Apple Pay pero también mata el rastreo del Modo Perdido; el orden importa
- La Protección de dispositivo robado de iOS 17.3 agrega un retraso de una hora para cambios en la cartera, pero solo en ubicaciones desconocidas
- Google Wallet se puede suspender a distancia desde wallet.google.com en cualquier navegador en menos de dos minutos
- Las políticas de Responsabilidad Cero de Visa y Mastercard cubren el fraude por contacto en tarjetas de crédito vinculadas a un dispositivo robado
Por qué Apple Pay y Google Wallet siguen funcionando tras el robo
Ni Apple Pay ni Google Wallet almacena el número real de tu tarjeta en el celular. Ambos sistemas usan un Device Primary Account Number (DPAN), un sustituto tokenizado generado por Visa Token Service o Mastercard Digital Enablement Service (MDES). Ese DPAN es lo que se transmite a la terminal de pago. Tu número de tarjeta real de 16 dígitos nunca sale de los servidores de la red de pagos.
Esa arquitectura es excelente para la seguridad en condiciones normales. En un robo es un problema, porque el DPAN sigue funcionando hasta que alguien lo suspende. La terminal no puede distinguir entre tú pagando con tu propio celular y el ladrón haciendo lo mismo. La autenticación ocurre en el dispositivo antes del pago, no en la terminal.
En un celular que ya estaba desbloqueado, no queda ningún paso de autenticación. El ladrón desliza, acerca el celular y la terminal aprueba. El banco ve un DPAN válido, un dispositivo reconocido y un token legítimo. La transacción se aprueba.
Los foros de soporte financiero documentan el mismo patrón una y otra vez: el dueño del celular lo pierde mientras está desbloqueado, el ladrón hace cuatro o cinco compras con Apple Pay en tiendas cercanas en 12 minutos, y el dueño se entera cuando ve las notificaciones push llegar al Apple Watch.
La secuencia de bloqueo de 10 minutos, en orden exacto
El orden importa. Hacer el paso 8 antes del paso 1 es el error más común, y cuesta la posibilidad de recuperar el equipo.
Los pasos exactos
-
Pide prestado un celular o busca una computadora. No puedes usar el equipo robado. Pídele ayuda a alguien, entra a un café, usa cualquier pantalla con conexión a internet que encuentres.
-
Inicia sesión en icloud.com (para iPhone) o android.com/find (para Android). Usa tus credenciales del ID de Apple o la cuenta de Google.
-
Marca el dispositivo como Perdido (iPhone) o Bloquea el dispositivo (Android). Para iPhone: icloud.com > Buscar (Find My) > tu dispositivo > Marcar como perdido. Para Android: android.com/find > Bloquear. Este es el paso más importante. El Modo Perdido en iPhone activa el Bloqueo de activación, muestra un mensaje de contacto en pantalla y suspende Apple Pay de inmediato (soporte.apple.com/es-mx, 2024). El bloqueo remoto de Google suspende Google Wallet en el dispositivo.
-
No borres todavía. Borrar elimina el Bloqueo de activación, que es lo único que impide al ladrón restablecer y revender el equipo. También cancela el rastreo de Buscar. Mantén el Modo Perdido activo.
-
Abre la app de tu banco en el dispositivo prestado o entra al sitio web de tu banco. Congela o suspende cada tarjeta vinculada a Apple Pay o Google Wallet. Los bancos mexicanos con Apple Pay (BBVA, Banamex, Santander, Banorte, HSBC, Banregio, Hey Banco, Klar, Nu México) ofrecen congelamiento inmediato de tarjeta desde su app. Si tienes dudas, llama a la CONDUSEF al 55-5340-0999 para orientación.
-
Ve a wallet.google.com (si usas Google Wallet). Inicia sesión, selecciona el dispositivo robado y da clic en Eliminar todas las tarjetas. Esto suspende todos los tokens de pago de ese dispositivo en segundos, independientemente del bloqueo del equipo.
-
Retira las tarjetas desde icloud.com como paso adicional, incluso después del Modo Perdido. En icloud.com, ve a Configuración > desplázate hasta tu dispositivo > Wallet y Apple Pay > elimina cada tarjeta. El Modo Perdido ya debería haberlas desactivado, pero confirmar toma 30 segundos.
-
Llama a la línea de fraudes de tu banco para cada institución cuya tarjeta tengas en la cartera digital. Reporta el robo, indica la hora aproximada y pide que marquen como no autorizadas todas las transacciones NFC sin contacto realizadas después de ese momento. Anota el número de folio de cada llamada.
-
Cambia la contraseña de tu ID de Apple o cuenta de Google desde el dispositivo prestado. Esto revoca las sesiones de confianza e impide que el ladrón cierre el Modo Perdido desde la configuración del equipo.
-
Retira la tarjeta de transporte por separado si tu sistema de transporte lo requiere. OMNY de Nueva York, el contactless de Londres, Suica (Tokio) y Clipper de San Francisco tienen sus propios portales de gestión donde puedes suspender la tarjeta vinculada a tu celular. El Modo Perdido puede no desactivar el Transporte Exprés de inmediato.
-
Presenta la denuncia ante el Ministerio Público y anota el número de acta. Necesitas ese documento para cada disputa de fraude con tu banco.
-
Llama a tu operadora para reportar el equipo como robado y solicitar el bloqueo del IMEI. En México, contacta a Telcel, AT&T México o Movistar; ellos reportan al CABEUM administrado por el Instituto Federal de Telecomunicaciones (IFT). Pide confirmación por escrito.
Guía completa de Find My iPhone
Apple Pay vs Google Wallet vs Samsung Pay: comportamiento en un dispositivo robado
| Apple Pay (iPhone) | Google Wallet (Android) | Samsung Pay (Galaxy) | |
|---|---|---|---|
| Bloqueo remoto | icloud.com > Marcar como perdido | android.com/find > Bloquear, o wallet.google.com | findmymobile.samsung.com > Bloqueo/borrado remoto |
| Tiempo para desactivar | Menos de 30 segundos con Modo Perdido | Menos de 60 segundos | 1-3 minutos |
| Requiere conexión en el dispositivo | Sí, para desactivación inmediata | Sí | Sí |
| Bypass de Transporte Exprés | Sí (pantalla bloqueada o apagada puede pagar) | Sí (tarjetas configuradas) | Sí |
| Retraso por Protección de dispositivo robado | 1 hora (iOS 17.3+ en ubicación desconocida) | Sin equivalente | Sin equivalente |
| Suspensión del DPAN | Automática con Modo Perdido | Manual o automática con bloqueo del dispositivo | Automática con bloqueo remoto |
| Afecta la tarjeta física | No, solo el DPAN | No, solo el DPAN | No, solo el DPAN |
Tarjetas de Transporte Exprés: la vulnerabilidad silenciosa
El Transporte Exprés es la función que permite pasar por el torniquete del metro sin encender el celular ni autenticarse. Es genuinamente útil. En un celular robado significa que el ladrón puede viajar gratis indefinidamente hasta que actúes.
OMNY en Nueva York, Clipper en San Francisco, el contactless de iPhone en Londres, la Suica de Tokio y la integración BVG de Berlín funcionan todas en modo Transporte Exprés. La tarjeta se cobra en silencio, a veces en montos tan pequeños que pasan desapercibidos en el estado de cuenta.
El consejo estándar de “marca el dispositivo como perdido” no resuelve de inmediato el problema del Transporte Exprés en todos los sistemas. Algunas redes de transporte procesan los pagos NFC en modo offline, sin consultar el estado de bloqueo del dispositivo con los servidores de Apple en tiempo real. Un ladrón en el metro puede hacer varios viajes antes de que la red sincronice.
La solución confiable: después de marcar el dispositivo como perdido, entra también al portal o app del sistema de transporte y suspende ahí directamente la tarjeta. OMNY de Nueva York: cuenta en omny.info. Suica: app de Suica o portal web de JR East. Clipper de San Francisco: clippercard.com. Contactless de Londres: contactless.tfl.gov.uk. Cada uno tarda menos de dos minutos.
Protección de dispositivo robado de iOS 17.3: qué hace y qué no
Apple introdujo la Protección de dispositivo robado en iOS 17.3 (enero de 2024) tras detectar un patrón de ladrones que espiaban el PIN antes de arrebatar el iPhone. La función exige Face ID o Touch ID (sin posibilidad de usar el PIN) para cambiar contraseñas del ID de Apple, agregar o eliminar tarjetas de pago y modificar ciertas configuraciones de la cartera. Además impone un retraso de seguridad obligatorio de una hora antes de que esos cambios se apliquen (soporte.apple.com/es-mx, 2024).
La protección se activa solo cuando el celular se detecta en un lugar desconocido. En casa o en el trabajo habitual, no aplica.
Lo que no puede hacer: no detiene una transacción que ya está autorizada. Un ladrón que agarre tu iPhone 14 desbloqueado en un concierto puede seguir haciendo compras con Apple Pay durante el retraso de una hora, porque la sesión de pago ya estaba autenticada cuando desbloqueaste el celular. La Protección de dispositivo robado es una mejora significativa, pero no reemplaza la secuencia de bloqueo remoto.
¿Se puede rastrear un celular apagado?
Las acciones remotas de Google Wallet en wallet.google.com
La interfaz de gestión remota de Google Wallet es menos conocida que Buscar, pero es más rápida para cancelar específicamente las tarjetas de pago. Desde cualquier navegador:
- Ve a wallet.google.com e inicia sesión con tu cuenta de Google.
- Da clic en el ícono de engranaje (Configuración) en la esquina superior derecha.
- Selecciona el dispositivo que figura como robado.
- Elige Eliminar todas las tarjetas del dispositivo.
Esta acción suspende todos los DPAN asociados a ese registro de dispositivo, en todas las tarjetas, sin borrar el celular. El equipo conserva su capacidad de rastreo con el Modo Perdido activo via android.com/find, que debes activar por separado. Usar ambas herramientas en secuencia es más rápido que esperar a que una sola se propague.
El registro de actividad de Google Wallet en wallet.google.com muestra cada transacción de pago sin contacto con marca de tiempo, comercio y monto. Toma captura de pantalla de esto inmediatamente después del robo. Es la evidencia más clara para la disputa con tu banco.
Cuándo borrar: lo correcto y lo que sale caro
Borrar el dispositivo es irreversible. También destruye tu mejor protección.
No borres si ya activaste el Modo Perdido (iPhone) o el bloqueo remoto (Android). Ambos estados conservan:
- El Bloqueo de activación, que impide al ladrón restablecer y revender el equipo
- El rastreo de ubicación de Buscar mientras el celular tenga batería y señal
- La cadena de evidencia del historial de ubicación del dispositivo
Sí borra solo cuando hayas confirmado que el dispositivo no se va a recuperar, ya tengas el número de acta del Ministerio Público, hayas suspendido todas las tarjetas de pago a través de sus portales respectivos, y los datos importantes ya estén respaldados en iCloud o Google One por sincronización automática.
Cómo desactivar Find My iPhone antes de vender el celular
El rastro de comprobantes: cómo encontrar transacciones no autorizadas
Antes de llamar a tu banco, documenta cada transacción por tu cuenta. Eso acelera la disputa y la hace más difícil de rechazar.
Para Apple Pay: inicia sesión en icloud.com, abre Configuración, desplázate hasta el dispositivo, abre Wallet y Apple Pay y revisa las transacciones recientes por tarjeta. En cualquier otro dispositivo Apple, abre la app Wallet, toca cada tarjeta y desliza hacia abajo para ver el historial. Las transacciones incluyen nombre del comercio, monto y marca de tiempo al minuto.
Para Google Wallet: ve a wallet.google.com y selecciona Actividad en el menú izquierdo. Cada transacción NFC aparece en orden cronológico inverso. Exporta esta página como PDF antes de iniciar la disputa.
Para tarjetas de transporte: entra al portal de cuenta del sistema de transporte correspondiente. OMNY, Suica, Clipper y el contactless de TfL mantienen historiales de uso vinculados a tu registro de cuenta.
Toma capturas o imprime todo antes de contactar a tu banco. Los equipos de fraude responden más rápido cuando el cliente llega con una lista completa y con marca de tiempo, en lugar de una queja vaga sobre cargos no reconocidos.
Disputas con el banco: tus protecciones legales en México
Las políticas de Responsabilidad Cero de Visa y Responsabilidad Cero de Mastercard cubren transacciones no autorizadas sin contacto, incluidas las realizadas desde un dispositivo robado. No tienes responsabilidad por los cargos fraudulentos, siempre que los reportes de forma oportuna y no hayas actuado con negligencia grave.
Los bancos mexicanos que participan en Apple Pay (BBVA, Banamex, Santander, Banorte, HSBC, Banregio, Hey Banco, Klar y Nu México) están sujetos a las regulaciones de la Ley para la Transparencia y Ordenamiento de los Servicios Financieros y a la supervisión de la CONDUSEF (condusef.gob.mx). Si tu banco rechaza el reembolso, presenta una queja formal ante la CONDUSEF al 55-5340-0999.
El marco legal aplica también a nivel federal: el Artículo 211 bis del Código Penal Federal (CPF) tipifica el acceso ilícito a sistemas informáticos, y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) protege tus datos financieros. La Fiscalía General de la República (FGR) atiende delitos federales relacionados con fraude financiero digital.
El proceso de disputa con el banco no es automático. Necesitas el número de acta del Ministerio Público, las marcas de tiempo de las transacciones del registro de actividad de la cartera digital y una declaración escrita de cuándo y dónde ocurrió el robo. Actúa rápido: los retrasos generan ambigüedad que los bancos aprovechan para diferir el reembolso.
Para lectores fuera de México
País Emergencia Fraude financiero Disponibilidad Apple Pay Argentina 911 BCRA / 0800-666-7872 Limitada (Mercado Pago compatible) Colombia 123 SFC / 01-800-091-2400 Sí (Bancolombia, Davivienda, Nequi) Chile 133 CMF / 600-592-6000 Sí (Banco de Chile, BCI, Santander CL) Brasil 190 Banco Central / 145 Sí (Nubank, Itaú, Bradesco, C6 Bank) España 112 Banco de España / 900-545-454 Sí (amplia cobertura)
Cuando termines la secuencia de bloqueo, llama a tu operadora para reportar el IMEI como robado y activar su bloqueo en el CABEUM/IFT. En México, Telcel, AT&T México y Movistar reportan al catálogo administrado por el IFT, lo que impide que el equipo se active en cualquier red mexicana. Lleva el acta del Ministerio Público para tramitar el bloqueo formal.
La capa de pagos ya está cerrada. La capa de recuperación, rastrear el dispositivo con Buscar o Google Find My Device, es un esfuerzo paralelo que se describe en detalle en la guía completa para recuperar un celular robado.
Preguntas frecuentes
Lo que más nos preguntan
7 preguntas · Actualizado may 2026