android
En el año 2025 se vio una cantidad récord de ataques a dispositivos Android. Ahora mismo, los estafadores se están aprovechando de algunos fenómenos importantes: la popularidad de las aplicaciones de inteligencia artificial, la necesidad de saltarse los bloqueos de sitios o verificaciones de edad, la búsqueda de una ganga para un nuevo teléfono inteligente, la ubicuidad de las bancas móviles y, por supuesto, la popularidad de la tecnología NFC. Analicemos las principales amenazas de 2025-2026 y descubramos cómo mantener seguro tu dispositivo Android en este nuevo panorama.
Sideloading
Los paquetes de instalación maliciosos (archivos APK) han sido siempre el enemigo número uno entre las amenazas para Android, a pesar de los esfuerzos que Google lleva realizando desde hace años para fortalecer el sistema operativo. Mediante el sideloading, es decir, la instalación de una aplicación a través de un archivo APK en lugar de descargarla de la tienda oficial, los usuarios pueden instalar prácticamente cualquier cosa, incluido malware puro y duro. Ni el lanzamiento de Google Play Protect ni las diversas restricciones de permisos para aplicaciones sospechosas han logrado reducir la magnitud del problema.
Según datos preliminares de Kaspersky para 2025, la cantidad de amenazas de Android detectadas creció casi la mitad. Solo en el tercer trimestre, las detecciones aumentaron un 38 % en comparación con el segundo. En ciertos nichos, como el de los troyanos bancarios, el crecimiento fue aún más agresivo. Solo en Rusia, el famoso troyano bancario Mamont atacó a 36 veces más usuarios que el año anterior, mientras que a nivel mundial los ataques de toda esta categoría se cuadruplicaron.
Hoy en día, los delincuentes distribuyen malware principalmente a través de aplicaciones de mensajería, divulgando archivos maliciosos en mensajes directos y chats grupales. El archivo de instalación generalmente tiene un nombre atractivo (por ejemplo “fotos_de_la_fiesta.jpg.apk” o “catálogo_de_ofertas.apk”), acompañado de un mensaje que explica “amablemente” cómo instalar el paquete evitando las restricciones del sistema operativo y las advertencias de seguridad.
Una vez que se infecta un nuevo dispositivo, el malware a menudo se envía a todos los que forman parte de la lista de contactos de la víctima.
El spam de los motores de búsqueda y las campañas de correo electrónico también son tendencia, y atraen a los usuarios a sitios que se ven exactamente como una tienda de aplicaciones oficial. Allí, se les solicita que descarguen la “aplicación útil más reciente”, como por ejemplo un asistente de inteligencia artificial. En realidad, en lugar de una instalación desde una tienda de aplicaciones oficial, el usuario termina descargando un paquete APK. Un buen ejemplo de estas tácticas es el troyano ClayRat para Android, que utiliza una combinación de todas estas técnicas para atacar a usuarios rusos. Se distribuye a través de grupos y sitios web falsos, se envía a los contactos de la víctima a través de SMS y luego procede a robar los registros de chat y el historial de llamadas de la víctima. Incluso llega a tomar fotografías del propietario con la cámara frontal. En solo tres meses, han surgido más de 600 versiones distintas de ClayRat.
La escala del desastre es tan masiva que Google incluso anunció la futura prohibición de distribuir aplicaciones de desarrolladores desconocidos a partir de 2026. Sin embargo, después de un par de meses de rechazo por parte de la comunidad de desarrolladores, la empresa cambió a un enfoque más moderado: las aplicaciones sin firma probablemente solo puedan instalarse a través de un modo de superusuario. Como resultado, podemos esperar que los estafadores simplemente actualicen sus guías prácticas con instrucciones sobre cómo activar ese modo.
Kaspersky para Android te ayudará a protegerte de archivos APK falsificados y troyanizados. Por desgracia, debido a la decisión de Google, nuestras aplicaciones de seguridad de Android no están disponibles actualmente en Google Play. Anteriormente, publicamos información detallada sobre cómo instalar nuestras aplicaciones de Android con una garantía de autenticidad del 100 %.
Ataques de retransmisión por NFC
Una vez que un dispositivo Android se ve vulnerado, los ciberdelincuentes pueden omitir al intermediario para robar el dinero de la víctima de forma directa gracias a la gran popularidad de los pagos móviles. Solo en el tercer trimestre de 2025, más de 44 000 de estos ataques se detectaron solo en Rusia, un aumento del 50 % con respecto al trimestre anterior.
Hay dos estafas principales actualmente en juego: exploits de NFC directos e inversos.
La retransmisión directa por NFC ocurre cuando un estafador se pone en contacto con la víctima a través de una aplicación de mensajería y la convence de que descargue una aplicación, supuestamente para “verificar su identidad” con el banco. Si la víctima cae en la trampa y la instala, se le pide que apoye su tarjeta bancaria física contra la parte posterior del teléfono e introduzca su PIN. Y así, los datos de la tarjeta se envían a los delincuentes, que luego pueden vaciar la cuenta o ir de compras.
La retransmisión por NFC inversa es un esquema más complejo. El estafador envía un APK malicioso y convence a la víctima de que configure esta nueva aplicación como su principal método de pago sin contacto. La aplicación genera una señal NFC que los cajeros automáticos reconocen como la tarjeta del estafador. Luego, se convence a la víctima de que vaya a un cajero automático con su teléfono infectado para depositar efectivo en una “cuenta segura”. En realidad, esos fondos van directamente al bolsillo del estafador.
Desglosamos ambos métodos en detalle en nuestra publicación, ataques de skimming con NFC.
La tecnología NFC también se está aprovechando para retirar dinero con tarjetas después de que sus datos se hayan expuesto a través de sitios web de phishing. En esta situación, los atacantes intentan vincular la tarjeta robada a una cartera móvil en su propio teléfono inteligente, un esquema que abordamos en detalle en los estafadores de NFC se esconden detrás de Apple Pay y Google Wallet.
El revuelo por las VPN
En muchas partes del mundo, acceder a ciertos sitios web no es tan sencillo como solía ser. Algunos sitios están bloqueados por reguladores de Internet locales o proveedores de Internet a través de órdenes judiciales; otros requieren que los usuarios realicen una verificación de edad mostrando una identificación e información personal. En algunos casos, los sitios bloquean por completo a los usuarios de países específicos solo para evitar el dolor de cabeza de cumplir con las leyes locales. Los usuarios intentan constantemente eludir estas restricciones y, a menudo, terminan pagando con sus datos o con dinero.
La realidad es que muchas de las herramientas populares para eludir bloqueos, especialmente las gratuitas, espían a sus usuarios. Una auditoría reciente reveló que más de 20 servicios populares con un total combinado de más de 700 millones de descargas rastrean activamente la ubicación de los usuarios. También tienden a usar un cifrado poco fiable, que esencialmente deja todos los datos del usuario a la vista para que terceros los intercepten.
Además, según información de Google de noviembre de 2025, hubo un fuerte aumento de casos de aplicaciones maliciosas que se hacen pasar por servicios de VPN legítimos para engañar a los usuarios desprevenidos.
Los permisos que esta categoría de aplicaciones realmente requiere son una combinación perfecta para interceptar datos y manipular el tráfico del sitio web. Además, es mucho más fácil para los estafadores convencer a una víctima de que conceda privilegios administrativos a una aplicación responsable del acceso a Internet que para, por ejemplo, un juego o un reproductor de música. Es esperable que este esquema crezca en popularidad.
Troyanos en cajas
Incluso los usuarios más cautelosos pueden ser víctimas de una infección si sucumben al impulso de ahorrar algo de dinero. A lo largo de 2025, se denunciaron casos en todo el mundo en los que los dispositivos ya contenían un troyano cuando se desempaquetaron. Por lo general, estos eran teléfonos inteligentes de fabricantes desconocidos o imitaciones de marcas famosas que se compraron en mercados en línea. Pero la amenaza no se limitaba solo a los teléfonos: se descubrió que los decodificadores de televisión, las tabletas, los televisores inteligentes e incluso los marcos de fotografías digitales estaban en peligro.
Todavía no está del todo claro si la infección ocurre directamente en la fábrica o en algún momento a lo largo de la cadena de suministro entre la fábrica y las manos del comprador, pero el dispositivo ya está infectado antes de encenderse por primera vez. En general, se trata de un tipo de malware sofisticado llamado Triada, que fue identificado por primera vez por los analistas de Kaspersky en 2016. Es capaz de meterse en cada aplicación en ejecución para interceptar información: robar tokens de acceso y contraseñas para aplicaciones de mensajería y redes sociales populares, desviar mensajes SMS (¡cuidado con los códigos de confirmación!), redirigir a los usuarios a sitios con muchos anuncios e incluso ejecutar un proxy directamente en el teléfono para que los atacantes puedan navegar por la web utilizando la identidad de la víctima.
Técnicamente, el troyano está integrado directamente en el firmware del teléfono inteligente y la única forma de eliminarlo es actualizar el dispositivo con un sistema operativo limpio. Una vez que se observa el sistema en detalle, se suele descubrir que el dispositivo tiene mucha menos RAM o almacenamiento de lo que se anuncia, lo que significa que el firmware le está mintiendo al propietario para vender una configuración de hardware barata como algo más prémium.
Otra amenaza común preinstalada es la botnet BADBOX 2.0, que también tiene una doble función como proxy y motor de fraude publicitario. Esta se especializa en decodificadores de televisión y hardware similar.
Cómo seguir usando Android sin perder la cabeza
A pesar de la creciente lista de amenazas, aún puedes usar tu teléfono inteligente Android de forma segura. Solo debes atenerte a algunas reglas estrictas de higiene móvil.
- Instala una solución de seguridad integral en todos tus teléfonos inteligentes. Recomendamos Kaspersky para Android para protegerte contra el malware y el phishing.
- Evita descargar aplicaciones a través de APK siempre que puedas usar una tienda de aplicaciones. Una tienda de aplicaciones conocida, incluso una más pequeña, es siempre una mejor opción que un APK aleatorio de algún sitio web aleatorio. Si no tienes otra opción, descarga los archivos APK solo desde los sitios web oficiales de la empresa y verifica dos veces la URL de la página en la que estás. Si no estás 100 % seguro de cuál es el sitio oficial, no confíes únicamente en un motor de búsqueda: consulta los directorios comerciales oficiales o al menos Wikipedia para verificar la dirección correcta.
- Lee atentamente las advertencias del sistema operativo durante la instalación. No otorgues permisos si los derechos o acciones que te solicitan parecen ilógicos o excesivos para la aplicación que estás instalando.
- Bajo ninguna circunstancia instales aplicaciones desde enlaces o archivos adjuntos en chats, correos electrónicos o canales de comunicación similares.
- Nunca apoyes tu tarjeta bancaria física contra tu teléfono. No existe una situación real en la que hacer esto sea para tu propio beneficio.
- No introduzcas el PIN de tu tarjeta en ninguna aplicación del teléfono. Solo un cajero automático o una terminal de pago física pueden solicitar un PIN.
- Al elegir una VPN, opta por las de pago de empresas de confianza.
- Compra teléfonos inteligentes y otros dispositivos electrónicos en los minoristas oficiales y mantente alejado de las marcas de las que nunca has oído hablar. Recuerda que, si una oferta parece demasiado buena para ser verdad, es casi seguro que lo sea.
Otras amenazas importantes de Android a partir de 2025:
Consejos