/ Internet y conectividad / ¿Cómo saber si tienes un virus en el móvil que te está robando las contraseñas bancarias?
Publicado el marzo 11, 2024

Contrario a la creencia popular, el malware móvil ya no se delata con simples ralentizaciones; ahora opera con sigilo, imitando apps legítimas y ocultándose tras actualizaciones para robar datos.

  • Los ataques ya no requieren instalar APKs; se infiltran a través de la Play Store mediante técnicas de ‘dropper’ y ataques a la cadena de suministro.
  • Herramientas como Google Play Protect son una primera barrera, pero el malware sofisticado las evade descargando su carga útil maliciosa después de la instalación.

Recomendación: Adopta una mentalidad de analista; en lugar de buscar síntomas obvios, investiga activamente los permisos de las apps, el historial de notificaciones y utiliza un antivirus con análisis de comportamiento para desenmascarar las amenazas ocultas.

¿Notas que la batería de tu móvil dura menos? ¿Aparece publicidad donde antes no había? Estos son los síntomas clásicos que cualquier guía menciona para detectar un virus. Sin embargo, este enfoque es obsoleto. Pensar que el malware moderno es ruidoso y evidente es el primer error de seguridad. Los atacantes de hoy no buscan la notoriedad, sino la invisibilidad. Su objetivo no es estropear tu dispositivo, sino convertirlo en una puerta de entrada silenciosa a tus cuentas bancarias, correos y redes sociales.

El verdadero peligro no reside en el software que ralentiza tu teléfono, sino en el que funciona a la perfección. Hablamos de troyanos disfrazados de juegos populares, de actualizaciones de aplicaciones legítimas que inyectan código espía y de complejos ataques a la cadena de suministro que convierten una librería de código confiable en un arma. El ecosistema de amenazas ha evolucionado de ataques de fuerza bruta a una ciberguerra de guerrillas, donde la infiltración es sigilosa y la exfiltración de datos, constante y discreta.

Este análisis no se centrará en los síntomas superficiales. En su lugar, adoptaremos la perspectiva de un investigador para realizar un análisis forense de los vectores de ataque más comunes. No vamos a esperar a que el daño sea evidente; vamos a aprender a buscar las sutiles huellas que el malware deja durante su infiltración. Desmontaremos las tácticas de los atacantes, desde el SMS fraudulento hasta las apps que espían desde la tienda oficial, para que puedas identificar y neutralizar la amenaza antes de que acceda a lo más valioso: tu información.

Este recorrido te proporcionará las herramientas y el conocimiento para analizar tu dispositivo como un profesional. Exploraremos los mecanismos de engaño, las técnicas de evasión que utiliza el malware para burlar las defensas de Google y los protocolos de actuación para recuperar el control. A continuación, desglosamos cada vector de ataque para que sepas exactamente qué buscar.

Sumario: Guía de investigación de amenazas en dispositivos móviles

El SMS de Correos falso: cómo distinguir un enlace legítimo de una trampa de robo de datos

El smishing, o phishing a través de SMS, es uno de los vectores de ataque más efectivos y extendidos. Su éxito radica en la suplantación de entidades de confianza como Correos, la Agencia Tributaria o tu propio banco. El mensaje suele generar un sentido de urgencia: un paquete retenido, un reembolso pendiente o una alerta de seguridad. El objetivo es siempre el mismo: que pulses un enlace sin pensar. La magnitud de esta amenaza es alarmante; se estima que el 78% de las estafas en España en 2025 vienen por suplantación de identidad bancaria vía SMS, lo que demuestra su alta tasa de éxito.

El análisis forense de estos mensajes revela patrones claros. A menudo contienen errores gramaticales o de ortografía, una señal de traducción automática. El enlace, aunque parezca legítimo a primera vista, oculta la verdadera URL. Una técnica de investigación básica es mantener pulsado el enlace (sin soltar) para que el sistema operativo muestre la dirección real a la que apunta, desenmascarando dominios sospechosos que nada tienen que ver con la entidad oficial. Además, la ausencia de `https` y el uso del protocolo no seguro `http` es una bandera roja inmediata.

Estudio de caso: Operación Paketokas

La eficacia de esta técnica quedó demostrada en la operación «Paketokas», donde la Guardia Civil desmanteló una red que estafó 1.100.000 euros. Como detalla un informe sobre el crecimiento de las ciberestafas, los criminales enviaban SMS alertando de cargos fraudulentos. El enlace llevaba a una web clonada donde las víctimas, creyendo estar solucionando un problema, introducían sus credenciales y códigos de un solo uso, autorizando sin saberlo el vaciado de sus cuentas. Este caso subraya que el eslabón más débil no es la tecnología, sino la psicología del usuario bajo presión.

La primera línea de defensa es la desconfianza sistemática. Antes de actuar, verifica la información por un canal independiente. Si el SMS es de Correos, no pulses el enlace; llama al número oficial (915 197 197) o introduce manualmente la URL del sitio web en tu navegador. Trata cada SMS no solicitado como una potencial trampa.

Clones de WhatsApp y juegos: cómo se cuelan en la Play Store y cómo evitarlos

La recomendación clásica de «no instalar aplicaciones de fuentes desconocidas» ha perdido gran parte de su efectividad. Los ciberdelincuentes ahora concentran sus esfuerzos en infiltrar sus creaciones en la tienda oficial de Google Play, aprovechando la confianza que los usuarios depositan en ella. Lo consiguen mediante una técnica conocida como «dropper». La aplicación que descargas es, en apariencia, inofensiva: un juego, una herramienta de edición o un clon de una app popular. Pasa los análisis iniciales de Google porque, en ese momento, no contiene código malicioso.

El ataque se produce después. Una vez instalada y con los permisos aceptados, la aplicación se conecta a un servidor de mando y control (C&C) y descarga la «carga útil» (payload): el troyano bancario, el spyware o el adware. Esta estrategia de dos fases es una de las técnicas de evasión más efectivas contra sistemas de seguridad automatizados como Play Protect.

Proceso de verificación de aplicaciones sospechosas en Play Store

Un caso de estudio revelador es el de DroidBot, un troyano que se vendía como Malware-as-a-Service (MaaS) por 3.000 dólares. Según investigadores de seguridad que lo descubrieron, afectó a clientes de BBVA y Santander en España. Se distribuía a través de aplicaciones que suplantaban a Chrome o incluso a la propia Play Store, demostrando un alto nivel de sofisticación para engañar al usuario y obtener permisos de accesibilidad, que le permitían tomar el control total del dispositivo.

Para protegerse, la clave es investigar antes de instalar. No te fíes solo del número de descargas o de las valoraciones (pueden ser falsas). Lee las reseñas negativas, busca información sobre el desarrollador y, sobre todo, analiza los permisos que solicita la app. ¿Una aplicación de linterna necesita acceso a tus contactos y SMS? La respuesta es no. En Android, puedes verificar la certificación de una app yendo a Play Store, pulsando en tu perfil y seleccionando «Play Protect».

Pantalla bloqueada por la «policía»: cómo recuperar el control sin pagar el rescate

El ransomware móvil es una de las formas de malware más agresivas. En lugar de operar en segundo plano, su objetivo es bloquear por completo el acceso a tu dispositivo, mostrando una pantalla que te acusa de haber cometido un delito. Suplantando a la Policía Nacional o a Europol, exige el pago de una «multa» para desbloquear el terminal. Esta táctica se apoya en la intimidación y la vergüenza, buscando una reacción impulsiva por parte de la víctima. Pagar el rescate es la peor decisión: no garantiza la recuperación del dispositivo y financia a los ciberdelincuentes.

Afortunadamente, a diferencia del ransomware de PC que cifra los archivos, la mayoría de las variantes móviles solo superponen una pantalla de bloqueo. Esto significa que es posible eliminarlo sin perder tus datos. El primer paso del protocolo de recuperación es reiniciar el dispositivo en Modo Seguro. Este modo carga el sistema operativo únicamente con las aplicaciones esenciales, impidiendo que el malware se ejecute. En la mayoría de los teléfonos Android, se activa manteniendo presionado el botón de apagado y luego manteniendo pulsada la opción «Apagar» en la pantalla hasta que aparezca el aviso para reiniciar en Modo Seguro.

Una vez en Modo Seguro, el camino está despejado para el análisis. Dirígete a «Ajustes» y luego a «Aplicaciones». Aquí debes actuar como un investigador: busca cualquier aplicación que no reconozas, que hayas instalado justo antes de que comenzara el problema o que tenga un nombre sospechoso. El ransomware a menudo se disfraza con nombres genéricos como «Update» o «System». Procede a desinstalar cualquier aplicación sospechosa. Tras hacerlo, un simple reinicio debería devolver el dispositivo a su estado normal. La prevalencia de este tipo de ataques es una realidad; los datos del Ministerio del Interior sobre cibercriminalidad revelan que el 90,5% de los delitos digitales en España durante 2023 fueron estafas informáticas, categoría que engloba estas extorsiones.

Si el ransomware es más sofisticado y bloquea incluso el acceso al Modo Seguro, la solución requiere conectar el móvil a un PC y usar herramientas más avanzadas como Android Debug Bridge (ADB) para forzar la desinstalación. Tras recuperar el control, es imperativo instalar un antivirus reconocido para un análisis completo y, sobre todo, cambiar todas tus contraseñas.

Antivirus en Android: ¿capa de seguridad extra o gasto inútil de batería y recursos?

La pregunta sobre la necesidad de un antivirus en Android es recurrente. Google integra de serie Play Protect, una herramienta que analiza las aplicaciones en la Play Store y en el dispositivo en busca de comportamiento malicioso. Para una gran parte de los usuarios, esta protección es suficiente, especialmente si solo instalan apps de fuentes fiables y mantienen una buena higiene digital. Sin embargo, como hemos visto, el malware moderno está diseñado para evadir estas defensas.

Comparación visual de protección antivirus en Android

La principal debilidad de los sistemas basados en firmas, como en parte lo es Play Protect, es su limitada capacidad para detectar amenazas de día cero (zero-day) o malware polimórfico que cambia su código para no ser detectado. Aquí es donde un antivirus de terceros de calidad marca la diferencia. Estas soluciones no solo se basan en una base de datos de amenazas conocidas, sino que incorporan análisis heurístico y de comportamiento. Es decir, monitorizan lo que una aplicación hace, no solo lo que es. Si una app de calculadora intenta acceder a tus SMS, un buen antivirus lo marcará como sospechoso, aunque la app no esté en ninguna lista negra.

El caso de la aplicación iRecorder, documentado por Kaspersky, es el ejemplo perfecto. Según el informe sobre este caso, la app estuvo en la Play Store durante un año sin actividad maliciosa. Luego, una actualización introdujo un troyano que grababa audio sin consentimiento. Acumuló más de 50.000 descargas antes de ser descubierta. Este es un escenario donde el análisis de comportamiento de un antivirus de terceros podría haber detectado el cambio de actividad anómalo, mientras que un sistema basado en reputación inicial no lo haría.

A continuación, una comparación técnica de las capacidades:

Google Play Protect vs Antivirus de terceros: análisis técnico
Criterio Google Play Protect Antivirus terceros (Kaspersky, ESET, Avast)
Cobertura Apps de Play Store principalmente Todas las fuentes incluidos APK externos
Método análisis Basado en la nube y firmas Análisis en tiempo real + comportamiento
Consumo batería Mínimo (integrado en sistema) Variable (3-7% adicional)
Funciones extra Básicas de seguridad VPN, antirrobo, bloqueo apps, auditor permisos
Detección 0-day Limitada Mejor con análisis heurístico
Precio Gratuito Freemium (gratis limitado/pago completo)

En definitiva, un antivirus de terceros no es un gasto inútil para usuarios que manejan información sensible (banca, trabajo) en su móvil o para aquellos que, por necesidad o curiosidad, instalan aplicaciones de diversas fuentes. Es una capa de seguridad proactiva que complementa la protección reactiva del sistema operativo, a cambio de un consumo de batería y recursos generalmente moderado.

Publicidad en la pantalla de inicio: cómo encontrar la app culpable que te llena el móvil de anuncios

Uno de los indicios más molestos de una infección por malware, concretamente por adware, es la aparición de publicidad invasiva. Anuncios que aparecen en la pantalla de bloqueo, que ocupan toda la pantalla al abrir cualquier aplicación o incluso pop-ups que surgen sin motivo aparente. El reto es que estos anuncios no indican qué aplicación los está generando. El adware moderno es experto en ocultarse, a veces instalando apps sin icono en el cajón de aplicaciones, lo que hace su identificación y eliminación una tarea de investigación.

El testimonio de un usuario afectado por este tipo de amenaza es elocuente: tras instalar una app gratuita de linterna, comenzó a recibir anuncios cada cinco minutos. El adware no solo era invasivo, sino que había instalado en secreto otras tres aplicaciones maliciosas que intentaban capturar sus credenciales bancarias. Usando un monitor de actividad de red, descubrió que la app culpable había consumido 2GB de datos móviles en solo tres días enviando información a servidores externos. Este caso demuestra que el adware no es solo una molestia, sino a menudo la punta del iceberg de una infección más grave.

Para encontrar la aplicación culpable, es necesario activar herramientas de análisis más profundas en Android. El siguiente protocolo te guiará para identificar y eliminar el origen del adware.

Plan de acción: Identificación y eliminación de adware

  1. Activar Opciones de Desarrollador: Ve a «Ajustes» > «Acerca del teléfono» y pulsa siete veces sobre «Número de compilación» hasta que se active el modo de desarrollador.
  2. Revisar procesos en ejecución: En «Opciones de Desarrollador», busca «Servicios en ejecución» o «Estadísticas de procesos». Analiza la lista en busca de apps desconocidas o con un consumo de RAM inusual.
  3. Verificar historial de notificaciones: A veces, los anuncios se lanzan como notificaciones. Mantén presionada un área vacía del panel de notificaciones, ve a «Ajustes» y busca el «Historial de notificaciones» para ver qué apps han estado activas recientemente.
  4. Buscar apps sin icono: Ve a «Ajustes» > «Aplicaciones» y asegúrate de seleccionar «Mostrar aplicaciones del sistema». Revisa la lista completa en busca de apps con nombres extraños o sin icono.
  5. Revocar permisos clave: El permiso «Mostrar sobre otras apps» es el que permite al adware lanzar pop-ups. Ve a «Ajustes» > «Permisos» (o «Gestor de permisos») y revoca este permiso a todas las aplicaciones que no sean de sistema o de confianza.

Finalmente, una vez identificada la app sospechosa, desinstálala de inmediato. Si los anuncios comenzaron en una fecha concreta, revisa las aplicaciones instaladas o actualizadas en las 48-72 horas previas, ya que es muy probable que una de ellas sea la responsable.

Ataques a la cadena de suministro: cuando una librería confiable se vuelve un troyano

Los ataques a la cadena de suministro representan uno de los vectores de infección más sofisticados y difíciles de detectar. En este escenario, el objetivo del atacante no es el usuario final directamente, sino los desarrolladores de aplicaciones. Al comprometer una librería de código (SDK) que es utilizada por cientos de aplicaciones legítimas, los atacantes logran distribuir su malware a una escala masiva y bajo un manto de total confianza. El usuario descarga una app conocida y bien valorada, sin saber que uno de sus componentes ha sido troyanizado.

La escala de este problema es inmensa. Un informe reciente de Kaspersky sobre seguridad móvil reveló la asombrosa cifra de 600 millones de herramientas maliciosas descargadas desde la Google Play Store solo en 2023, muchas de las cuales utilizaban técnicas de evasión avanzadas como los ataques a la cadena de suministro. Esto demuestra que la tienda oficial no es un santuario impenetrable.

Estudio de caso: Operación DawDropper

La campaña «DawDropper», descubierta por Trend Micro, es un ejemplo claro de este modus operandi. Un total de 17 aplicaciones aparentemente inocuas (escáneres de QR, VPNs, grabadoras de llamadas) disponibles en Google Play actuaban como ‘droppers’. Utilizaban una táctica ingeniosa: usaban la base de datos en tiempo real de Firebase (un servicio legítimo de Google) para obtener dinámicamente la dirección desde donde descargar el malware. Esta técnica les permitía pasar los análisis de seguridad iniciales. La carga útil era el troyano Octo, capaz de deshabilitar Google Play Protect, grabar la pantalla del usuario mediante VNC y robar credenciales bancarias. Las apps permanecieron meses en la tienda, acumulando miles de descargas.

Para el usuario, detectar este tipo de amenaza es casi imposible basándose únicamente en la reputación de la app. La protección recae de nuevo en un análisis de comportamiento post-instalación. Un buen antivirus o una herramienta de monitorización de red podría detectar la comunicación anómala de la app con un servidor desconocido (para descargar el payload) o el intento de obtener permisos elevados sin justificación. La clave es monitorizar la actividad de red y los permisos solicitados no solo durante la instalación, sino de forma continua durante toda la vida útil de la aplicación.

Por qué anotar las claves en las notas del móvil es la peor idea posible

Después de analizar los sofisticados vectores de ataque externos, es crucial examinar una de las mayores vulnerabilidades: nosotros mismos. La comodidad a menudo nos lleva a cometer errores de seguridad graves, y uno de los más comunes y peligrosos es almacenar contraseñas en aplicaciones de notas o archivos de texto en el móvil. Esta práctica convierte tu dispositivo en un cofre del tesoro para cualquier tipo de malware con acceso al almacenamiento.

Como advierte el equipo de seguridad de N26 en su blog oficial, la amenaza es directa y automatizada. En sus propias palabras:

Cualquier malware con permiso de lectura de almacenamiento puede escanear todos tus archivos de texto en segundos buscando palabras clave como ‘contraseña’, ‘banco’, ‘PIN’

– N26 Trust & Safety Team, Blog oficial N26 sobre seguridad móvil

Imagina un troyano que ha logrado infiltrarse mediante una de las técnicas vistas anteriormente. Su primer objetivo será buscar archivos que contengan estas palabras clave. No necesita descifrar nada; la información está en texto plano, lista para ser copiada y enviada a un servidor remoto. En cuestión de segundos, el atacante puede tener acceso a tu banca online, correo electrónico y redes sociales. Sincronizar estas notas con servicios en la nube sin un cifrado de conocimiento cero (donde solo tú tienes la clave) simplemente expande la superficie de ataque.

La solución no es memorizar decenas de contraseñas complejas, sino utilizar las herramientas adecuadas. La gestión segura de contraseñas se basa en tres pilares:

  • Gestores de Contraseñas: Aplicaciones como Bitwarden, 1Password o KeePass almacenan tus claves en una bóveda cifrada. Solo necesitas recordar una contraseña maestra para acceder a todas las demás.
  • Autenticación Biométrica: Protege el acceso a tu gestor de contraseñas con tu huella dactilar o reconocimiento facial. Esto añade una capa de seguridad física.
  • Autenticación de Dos Factores (2FA): Actívala en todas tus cuentas importantes. Incluso si un atacante roba tu contraseña, no podrá acceder sin el segundo factor (un código de una app, un SMS o una llave de seguridad).

Abandonar el hábito de anotar contraseñas en texto plano es el paso más importante que puedes dar para fortalecer tu seguridad digital personal. Es un cambio simple que neutraliza una de las vías de robo de datos más explotadas por los ciberdelincuentes.

Puntos clave a recordar

  • El malware moderno prioriza el sigilo sobre la disrupción, ocultándose en apps legítimas y actualizaciones para robar datos sin ser detectado.
  • Los vectores de ataque se han sofisticado, infiltrándose en la Play Store a través de ‘droppers’ y comprometiendo la cadena de suministro de software.
  • La detección no puede basarse en síntomas superficiales; requiere un análisis proactivo de permisos, comportamiento de red y el uso de herramientas de seguridad avanzadas.

¿Qué hacer si alguien se hace pasar por ti en redes sociales y arruina tu imagen?

La seguridad de nuestro móvil no solo protege nuestras finanzas, sino también nuestra identidad digital. Un dispositivo comprometido puede ser el punto de partida para un ataque de suplantación de identidad, donde un atacante crea perfiles falsos con tu nombre y fotos para estafar a tus contactos, publicar contenido dañino o arruinar tu reputación. Este tipo de ataque ha experimentado un crecimiento explosivo, con un aumento del 379,9% en estafas informáticas entre 2016 y 2022 según el balance del Ministerio del Interior español, incluyendo los delitos de suplantación.

Actuar con rapidez es absolutamente crucial para mitigar el daño. La «hora de oro» tras descubrir la suplantación es determinante. Lo primero es recopilar todas las pruebas posibles: haz capturas de pantalla del perfil falso (asegurándote de que la URL sea visible), de las publicaciones y de cualquier mensaje que haya enviado. Estas evidencias serán fundamentales para el reporte en la plataforma y para una posible denuncia.

Inmediatamente después, utiliza los mecanismos de reporte de la propia red social (Instagram, Facebook, X, etc.) para denunciar el perfil por suplantación de identidad. Estos procesos suelen ser prioritarios para las plataformas. Simultáneamente, alerta a tus contactos y seguidores a través de tus perfiles legítimos. Un mensaje claro y conciso advirtiendo sobre la existencia de una cuenta falsa puede evitar que tus amigos y familiares caigan en una estafa.

El siguiente paso es fortalecer tu propia seguridad para evitar que los atacantes tomen control de tus cuentas reales. Activa la autenticación de dos factores (2FA) en todas tus redes sociales, correo electrónico y cualquier otro servicio importante. Finalmente, con todas las pruebas recopiladas, considera presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. La suplantación de identidad es un delito y una denuncia formal puede iniciar una investigación. Monitorizar tu nombre en Google mediante alertas puede ayudarte a detectar nuevas suplantaciones en el futuro.

Reaccionar de forma estructurada y veloz puede limitar significativamente el impacto de un ataque a tu identidad digital. Es fundamental interiorizar el protocolo de acción inmediata ante una suplantación de identidad para proteger tu reputación.

Ahora que has completado este análisis forense, posees el conocimiento para identificar y neutralizar las amenazas móviles modernas. El siguiente paso lógico es aplicar este conocimiento de forma proactiva, auditando regularmente las aplicaciones y permisos de tu dispositivo para mantener una postura de seguridad robusta y resiliente.

Escrito por Marta Valladares, Analista de Ciberseguridad Móvil y Desarrolladora de Software con 12 años de trayectoria en optimización de kernel Android y sistemas iOS. Experta en protección de datos y análisis de vulnerabilidades en aplicaciones bancarias.
¿Por qué tu conexión de fibra de 600 Mb va lenta en las videollamadas?
¿Internet fiable fuera de la UE? La guía para no pagar de más ni arriesgar tu trabajo
Recién publicado
¿Por qué un sistema Mesh es mejor inversión que llenar la casa de repetidores baratos?
¿Por qué tus auriculares caros suenan peor en tu móvil que conectados por cable?
¿Merece la pena esperar al Wi-Fi 7 o comprar un router Wi-Fi 6E ahora?
¿Por qué pagas por 1 Gbps pero tu ordenador solo descarga a 100 Mbps?
¿Por qué tu instalación de fibra es tan delicada y cómo evitar romperla al limpiar?
Publicaciones similares
¿Es peligroso vivir frente a una antena 5G o es solo miedo infundado?
¿Qué hacer si alguien se hace pasar por ti en redes sociales y arruina tu imagen?
¿Por qué tu móvil es un coladero de datos si llevas 3 meses sin el parche de seguridad?
¿Cómo bajar el ping de tu conexión para ganar ventaja competitiva online?