La llamada llegó un martes a las 7 de la mañana. Era el gerente de una empresa mediana que atendemos en ONESEC, y su voz temblorosa. “Alguien vació mi cuenta. Transferencias que yo no hice. Y lo peor: todas salieron desde mi celular”.
Cuando revisamos su dispositivo, encontramos lo que sospechábamos. Una aplicación aparentemente inofensiva —un lector de PDF que había descargado semanas antes— había estado capturando cada tecla que presionaba, incluyendo sus credenciales bancarias. El malware operó en silencio durante días, esperando el momento perfecto para actuar.
Esta historia se repite más de lo que imaginas. Nuestros teléfonos se han convertido en extensiones de nosotros mismos: guardamos contraseñas, accedemos a cuentas bancarias, almacenamos fotos íntimas y conversaciones privadas. Y los atacantes lo saben perfectamente.
¿Qué es el malware móvil?
El malware móvil es software malicioso diseñado específicamente para infiltrarse en dispositivos iOS y Android. A diferencia del malware tradicional de computadoras, estos programas están optimizados para explotar las características únicas de los smartphones: sensores de ubicación, cámaras, micrófonos, y el acceso constante a aplicaciones bancarias y de mensajería.
Los tipos más comunes incluyen troyanos bancarios que roban credenciales financieras, spyware que monitorea toda tu actividad, adware que inunda tu dispositivo con publicidad maliciosa, y ransomware que bloquea tu teléfono hasta que pagues un rescate.
Lo más preocupante es que el malware móvil moderno está diseñado para ser invisible. Puede operar durante semanas o meses sin que notes absolutamente nada fuera de lo normal.
Cómo puede infectarse tu dispositivo
Aplicaciones maliciosas disfrazadas de software legítimo son el vector de ataque más común. Los atacantes crean aplicaciones que parecen útiles —lectores de PDF, herramientas de recuperación de archivos, escáneres de documentos— y las distribuyen a través de tiendas de aplicaciones o sitios web falsos que imitan a Google Play Store. Una vez instaladas, estas apps solicitan permisos excesivos que les permiten acceder a tus datos más sensibles.
El troyano Anatsa, por ejemplo, se distribuyó a través de aplicaciones aparentemente legítimas en Google Play Store, logrando infectar decenas de miles de dispositivos antes de ser detectado. Las aplicaciones funcionaban correctamente para su propósito original, lo que hacía casi imposible sospechar de ellas.
El smishing —phishing a través de SMS— se ha convertido en el método de ataque más prevalente contra usuarios móviles. Recibes un mensaje de texto que parece provenir de tu banco, una empresa de paquetería, o incluso una agencia gubernamental. El mensaje contiene un enlace que, al hacer clic, descarga malware en tu dispositivo o te dirige a una página falsa donde ingresas tus credenciales.
Las redes Wi-Fi públicas representan otro riesgo significativo. Los atacantes pueden interceptar el tráfico entre tu dispositivo y el punto de acceso, inyectando código malicioso en las páginas web que visitas o redirigiendo tus conexiones a servidores controlados por ellos.
Los exploits zero-click son quizás los más aterradores. El spyware Pegasus, desarrollado por la empresa israelí NSO Group, demostró que es posible infectar un iPhone completamente actualizado sin que el usuario haga absolutamente nada. Basta con recibir un mensaje en iMessage —sin siquiera abrirlo— para que el dispositivo quede comprometido. Aunque Pegasus se utiliza principalmente contra objetivos de alto perfil como periodistas y activistas, la tecnología existe y eventualmente se filtra a atacantes menos sofisticados.
¿iOS es más seguro que Android?
Existe una percepción común de que iOS es inmune al malware. La realidad es más matizada.
Android, por su naturaleza más abierta, permite la instalación de aplicaciones desde fuentes externas a Google Play Store. Esta flexibilidad también significa mayor superficie de ataque. Los usuarios que instalan APKs de fuentes desconocidas multiplican significativamente su riesgo de infección.
iOS, con su ecosistema cerrado y proceso de revisión estricto de aplicaciones, dificulta la distribución de malware masivo. Sin embargo, esto no lo hace invulnerable. Las vulnerabilidades zero-day en iOS existen y son explotadas activamente. Investigadores han documentado infecciones de Pegasus en iPhones completamente actualizados, incluyendo modelos recientes con las últimas versiones del sistema operativo.
Además, los dispositivos iOS enfrentan casi el doble de ataques de phishing que los Android. Los atacantes, conscientes de la dificultad de instalar malware directamente, compensan utilizando técnicas de ingeniería social para robar credenciales a través de páginas web falsas.
Qué información pueden robarte
Una vez que el malware se instala en tu dispositivo, el atacante puede obtener acceso a prácticamente toda tu vida digital.
Credenciales bancarias y financieras: Los troyanos bancarios como Svpeng, Anatsa y Octo utilizan técnicas de overlay para superponer pantallas de inicio de sesión falsas sobre tus aplicaciones bancarias legítimas. Cuando ingresas tu usuario y contraseña, crees que estás accediendo a tu banco, pero en realidad estás entregando tus credenciales directamente al atacante. Algunos incluso pueden interceptar los códigos de autenticación de dos factores enviados por SMS.
Mensajes y comunicaciones: El malware puede leer todos tus mensajes de texto, correos electrónicos y conversaciones en aplicaciones de mensajería. Esto incluye aplicaciones supuestamente seguras como WhatsApp, Telegram y Signal, ya que el acceso ocurre después de que los mensajes se descifran en tu dispositivo.
Contactos y agenda: Tu lista completa de contactos puede ser exfiltrada y utilizada para propagar el malware a tus conocidos, o para realizar ataques de ingeniería social más convincentes.
Ubicación en tiempo real: El GPS de tu teléfono puede ser monitoreado constantemente, creando un registro detallado de todos tus movimientos.
Fotos, videos y documentos: Todo el contenido multimedia almacenado en tu dispositivo queda expuesto. El malware CherryBlos incluso utiliza reconocimiento óptico de caracteres (OCR) para extraer texto de las imágenes, buscando específicamente capturas de pantalla de frases semilla de billeteras de criptomonedas.
Cámara y micrófono: El spyware avanzado puede activar la cámara y el micrófono de tu dispositivo sin ninguna indicación visible, convirtiendo tu teléfono en un dispositivo de vigilancia las 24 horas.
Keylogging: Cada tecla que presionas puede ser registrada, capturando no solo contraseñas sino cualquier información sensible que escribas.
Síntomas de un dispositivo infectado
Aunque el malware moderno está diseñado para pasar desapercibido, hay indicadores que pueden alertarte:
Tu batería se agota más rápido de lo normal, ya que el malware consume recursos constantemente. Notas un aumento inexplicable en el consumo de datos móviles. Tu dispositivo se calienta sin razón aparente o funciona más lento. Aparecen aplicaciones que no recuerdas haber instalado, o configuraciones que han cambiado sin tu intervención.
También pueden aparecer señales externas: actividad inusual en tus cuentas bancarias, intentos de inicio de sesión desde ubicaciones desconocidas, o contactos que te preguntan sobre mensajes extraños que supuestamente les enviaste.
Cómo protegerte
La prevención es fundamental porque, una vez infectado, la detección y eliminación del malware puede ser extremadamente difícil.
Mantén tu sistema operativo actualizado. Las actualizaciones de seguridad existen precisamente para parchear las vulnerabilidades que el malware explota. Posponer una actualización es dejar una puerta abierta para los atacantes.
Instala aplicaciones únicamente de fuentes oficiales y, aun así, verifica los permisos que solicitan. Un lector de PDF no necesita acceso a tus contactos, SMS o micrófono. Si una aplicación pide permisos que no tienen sentido para su función, no la instales.
Desconfía de cualquier enlace recibido por SMS o correo electrónico, especialmente si proviene de remitentes desconocidos o si el mensaje genera urgencia. Los bancos y empresas legítimas rara vez te pedirán que hagas clic en enlaces para resolver problemas urgentes.
No te conectes a redes Wi-Fi públicas para realizar transacciones bancarias o acceder a información sensible. Si es inevitable, utiliza una VPN.
Reinicia tu dispositivo regularmente. Algunos tipos de malware no sobreviven a un reinicio, lo que significa que un simple apagado y encendido puede interrumpir infecciones activas.
Revisa periódicamente los permisos de tus aplicaciones y elimina aquellas que ya no utilizas. Menos aplicaciones significa menos superficie de ataque.
Activa la autenticación de dos factores en todas las cuentas que lo permitan, preferiblemente utilizando una aplicación de autenticación en lugar de SMS.
La amenaza que llevamos en el bolsillo
Nuestros smartphones contienen más información personal que cualquier otro dispositivo que hayamos tenido. Y paradójicamente, son los dispositivos que menos protegemos. Instalamos aplicaciones sin pensar, hacemos clic en enlaces sin verificar, y conectamos a redes desconocidas sin considerar las consecuencias.
El caso del gerente con el que abrí este artículo tuvo un final relativamente afortunado: su banco pudo revertir algunas de las transferencias fraudulentas. Pero no todos tienen esa suerte. Y más allá del dinero, está la invasión a la privacidad, el acceso a conversaciones íntimas, a fotos personales, a la ubicación de tu familia.
La próxima vez que descargues una aplicación o hagas clic en un enlace, recuerda: tu teléfono no es solo un dispositivo. Es la llave a toda tu vida digital.
En ONESEC realizamos evaluaciones de seguridad móvil que identifican vulnerabilidades en aplicaciones y dispositivos corporativos. Si tu organización maneja información sensible a través de smartphones, contáctanos para conocer cómo podemos ayudarte a protegerla.
Referencias
Kaspersky – How to protect from Pegasus and other advanced spyware. Recuperado el 10 de diciembre de 2025.
Amnesty International – Forensic Methodology Report: How to catch NSO Group’s Pegasus. Recuperado el 10 de diciembre de 2025.
Norton – What is Pegasus spyware, and how to detect and remove it. Recuperado el 10 de diciembre de 2025.
Malwarebytes – Android banking trojans: How they steal passwords and drain bank accounts. Recuperado el 10 de diciembre de 2025.
SpyCloud – The Rise of Mobile Malware. Recuperado el 10 de diciembre de 2025.
Lookout – 2025 Q1 Mobile Threat Landscape Report. Recuperado el 10 de diciembre de 2025.
Comparitech – 20+ Android Malware Stats for 2025. Recuperado el 10 de diciembre de 2025.
The Hacker News – Dangerous Mobile Banking Trojan Gets ‘Keylogger’ to Steal Everything. Recuperado el 10 de diciembre de 2025.
McAfee – What Is Pegasus Spyware? Recuperado el 10 de diciembre de 2025.