{"id":28952,"date":"2026-02-18T11:21:54","date_gmt":"2026-02-18T17:21:54","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28952"},"modified":"2026-02-20T08:21:05","modified_gmt":"2026-02-20T14:21:05","slug":"growing-2026-android-threats-and-protection","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/growing-2026-android-threats-and-protection\/28952\/","title":{"rendered":"La tormenta perfecta de amenazas de Android"},"content":{"rendered":"

En el a\u00f1o 2025 se vio una cantidad r\u00e9cord de ataques a dispositivos Android. Ahora mismo, los estafadores se est\u00e1n aprovechando de algunos fen\u00f3menos importantes: la popularidad de las aplicaciones de inteligencia artificial, la necesidad de saltarse los bloqueos de sitios o verificaciones de edad, la b\u00fasqueda de una ganga para un nuevo tel\u00e9fono inteligente, la ubicuidad de las bancas m\u00f3viles y, por supuesto, la popularidad de la tecnolog\u00eda NFC. Analicemos las principales amenazas de 2025-2026 y descubramos c\u00f3mo mantener seguro tu dispositivo Android en este nuevo panorama.<\/p>\n

Carga lateral<\/h2>\n

Los paquetes de instalaci\u00f3n maliciosos (archivos APK) han sido siempre el jefe final de las amenazas de Android, a pesar de los esfuerzos de varios a\u00f1os de Google para fortalecer el sistema operativo. Al usar la carga lateral (es decir, instalar una aplicaci\u00f3n a trav\u00e9s de un archivo APK en lugar de obtenerla de la tienda oficial), los usuarios pueden instalar pr\u00e1cticamente cualquier cosa, incluido el malware. Y ni el lanzamiento de Google Play Protect ni las diversas restricciones de permisos para aplicaciones sospechosas han logrado hacer mella en la escala del problema.<\/p>\n

Seg\u00fan datos preliminares de Kaspersky para 2025, la cantidad de amenazas de Android detectadas creci\u00f3 casi la mitad<\/a>. Solo en el tercer trimestre, las detecciones aumentaron un 38\u00a0%<\/a> en comparaci\u00f3n con el segundo. En ciertos nichos, como el de los banqueros troyanos, el crecimiento fue a\u00fan m\u00e1s agresivo. Solo en Rusia, el notorio banquero Mamont<\/a> atac\u00f3 a 36\u00a0veces m\u00e1s usuarios que el a\u00f1o anterior, mientras que a nivel mundial los ataques de toda esta categor\u00eda se cuadruplicaron.<\/p>\n

Hoy en d\u00eda, los delincuentes distribuyen malware principalmente a trav\u00e9s de aplicaciones de mensajer\u00eda, divulgando archivos maliciosos en mensajes directos y chats grupales. El archivo de instalaci\u00f3n generalmente tiene un nombre atractivo (por ejemplo \u201cfotos_de_la_fiesta.jpg.apk\u201d o \u201ccat\u00e1logo_de_ofertas.apk\u201d), acompa\u00f1ado de un mensaje que explica \u201camablemente\u201d c\u00f3mo instalar el paquete evitando las restricciones del sistema operativo y las advertencias de seguridad.<\/p>\n

Una vez que se infecta un nuevo dispositivo, el malware a menudo se env\u00eda a todos los que forman parte de la lista de contactos de la v\u00edctima.<\/p>\n

El spam de los motores de b\u00fasqueda y las campa\u00f1as de correo electr\u00f3nico tambi\u00e9n son tendencia, y atraen a los usuarios a sitios que se ven exactamente como una tienda de aplicaciones oficial. All\u00ed, se les solicita que descarguen la \u201caplicaci\u00f3n \u00fatil m\u00e1s reciente\u201d, como por ejemplo un asistente de inteligencia artificial. En realidad, en lugar de una instalaci\u00f3n desde una tienda de aplicaciones oficial, el usuario termina descargando un paquete APK. Un buen ejemplo de estas t\u00e1cticas es el troyano ClayRat para Android<\/a>, que utiliza una combinaci\u00f3n de todas estas t\u00e9cnicas para atacar a usuarios rusos. Se distribuye a trav\u00e9s de grupos y sitios web falsos, se env\u00eda a los contactos de la v\u00edctima a trav\u00e9s de SMS y luego procede a robar los registros de chat y el historial de llamadas de la v\u00edctima. Incluso llega a tomar fotograf\u00edas del propietario con la c\u00e1mara frontal. En solo tres meses, han surgido m\u00e1s de 600\u00a0versiones distintas de ClayRat.<\/p>\n

La escala del desastre es tan masiva que Google incluso anunci\u00f3 la futura prohibici\u00f3n<\/a> de distribuir aplicaciones de desarrolladores desconocidos a partir de 2026. Sin embargo, despu\u00e9s de un par de meses de rechazo por parte de la comunidad de desarrolladores, la empresa cambi\u00f3<\/a> a un enfoque m\u00e1s moderado: las aplicaciones sin firma probablemente solo puedan instalarse a trav\u00e9s de un modo de superusuario. Como resultado, podemos esperar que los estafadores simplemente actualicen sus gu\u00edas pr\u00e1cticas con instrucciones sobre c\u00f3mo activar ese modo.<\/p>\n

Kaspersky para Android<\/a> te ayudar\u00e1 a protegerte de archivos APK falsificados y troyanizados. Por desgracia, debido a la decisi\u00f3n de Google, nuestras aplicaciones de seguridad de Android no est\u00e1n disponibles actualmente en Google Play. Anteriormente, publicamos informaci\u00f3n detallada sobre c\u00f3mo instalar nuestras aplicaciones de Android con una garant\u00eda de autenticidad del 100\u00a0%<\/a>.<\/p>\n

Ataques de retransmisi\u00f3n por NFC<\/h2>\n

Una vez que un dispositivo Android se ve vulnerado, los piratas inform\u00e1ticos pueden omitir al intermediario para robar el dinero de la v\u00edctima de forma directa gracias a la gran popularidad de los pagos m\u00f3viles. Solo en el tercer trimestre de 2025, m\u00e1s de 44\u00a0000 de estos ataques se detectaron solo en Rusia, un aumento del 50\u00a0% con respecto al trimestre anterior.<\/p>\n

Hay dos estafas principales actualmente en juego: exploits de NFC directos e inversos.<\/p>\n

La retransmisi\u00f3n directa por NFC ocurre cuando un estafador se pone en contacto con la v\u00edctima a trav\u00e9s de una aplicaci\u00f3n de mensajer\u00eda y la convence de que descargue una aplicaci\u00f3n, supuestamente para \u201cverificar su identidad\u201d con el banco. Si la v\u00edctima cae en la trampa y la instala, se le pide que apoye su tarjeta bancaria f\u00edsica contra la parte posterior del tel\u00e9fono e introduzca su PIN. Y as\u00ed, los datos de la tarjeta se env\u00edan a los delincuentes, que luego pueden vaciar la cuenta o ir de compras.<\/p>\n

La retransmisi\u00f3n por NFC inversa es un esquema m\u00e1s complejo. El estafador env\u00eda un APK malicioso y convence a la v\u00edctima de que configure esta nueva aplicaci\u00f3n como su principal m\u00e9todo de pago sin contacto. La aplicaci\u00f3n genera una se\u00f1al NFC que los cajeros autom\u00e1ticos reconocen como la tarjeta del estafador. Luego, se convence a la v\u00edctima de que vaya a un cajero autom\u00e1tico con su tel\u00e9fono infectado para depositar efectivo en una \u201ccuenta segura\u201d. En realidad, esos fondos van directamente al bolsillo del estafador.<\/p>\n

Desglosamos ambos m\u00e9todos en detalle en nuestra publicaci\u00f3n, Ataques de skimming con NFC<\/strong><\/a>.<\/p>\n

La tecnolog\u00eda NFC tambi\u00e9n se est\u00e1 aprovechando para retirar dinero con tarjetas despu\u00e9s de que sus datos se hayan expuesto a trav\u00e9s de sitios web de phishing. En esta situaci\u00f3n, los atacantes intentan vincular la tarjeta robada a una cartera m\u00f3vil en su propio tel\u00e9fono inteligente, un esquema que abordamos en detalle en Los estafadores de NFC se esconden detr\u00e1s de Apple Pay y Google Wallet<\/strong><\/a>.<\/p>\n

El revuelo por las VPN<\/h2>\n

En muchas partes del mundo, acceder a ciertos sitios web no es tan sencillo como sol\u00eda ser. Algunos sitios est\u00e1n bloqueados por reguladores de Internet locales o proveedores de Internet a trav\u00e9s de \u00f3rdenes judiciales; otros requieren que los usuarios realicen una verificaci\u00f3n de edad mostrando una identificaci\u00f3n e informaci\u00f3n personal. En algunos casos, los sitios bloquean por completo a los usuarios de pa\u00edses espec\u00edficos solo para evitar el dolor de cabeza de cumplir con las leyes locales. Los usuarios intentan constantemente eludir estas restricciones y, a menudo, terminan pagando con sus datos o con dinero.<\/p>\n

La realidad es que muchas de las herramientas populares para eludir bloqueos, especialmente las gratuitas, esp\u00edan a sus usuarios. Una auditor\u00eda reciente revel\u00f3 que m\u00e1s de 20\u00a0servicios populares con un total combinado de m\u00e1s de 700\u00a0millones de descargas rastrean activamente la ubicaci\u00f3n de los usuarios<\/a>. Tambi\u00e9n tienden a usar un cifrado poco fiable, que esencialmente deja todos los datos del usuario a la vista para que terceros los intercepten.<\/p>\n

Adem\u00e1s, seg\u00fan informaci\u00f3n de Google de noviembre de 2025<\/a>, hubo un fuerte aumento de casos de aplicaciones maliciosas que se hacen pasar por servicios de VPN leg\u00edtimos<\/a> para enga\u00f1ar a los usuarios desprevenidos.<\/p>\n

Los permisos que esta categor\u00eda de aplicaciones realmente requiere son una combinaci\u00f3n perfecta para interceptar datos y manipular el tr\u00e1fico del sitio web. Adem\u00e1s, es mucho m\u00e1s f\u00e1cil para los estafadores convencer a una v\u00edctima de que conceda privilegios administrativos a una aplicaci\u00f3n responsable del acceso a Internet que para, por ejemplo, un juego o un reproductor de m\u00fasica. Es esperable que este esquema crezca en popularidad.<\/p>\n

Troyanos en cajas<\/h2>\n

Incluso los usuarios m\u00e1s cautelosos pueden ser v\u00edctimas de una infecci\u00f3n si sucumben al impulso de ahorrar algo de dinero. A lo largo de 2025, se denunciaron casos en todo el mundo en los que los dispositivos ya conten\u00edan un troyano cuando se desempaquetaron<\/a>. Por lo general, estos eran tel\u00e9fonos inteligentes de fabricantes desconocidos o imitaciones de marcas famosas que se compraron en mercados en l\u00ednea. Pero la amenaza no se limitaba solo a los tel\u00e9fonos: se descubri\u00f3 que las TV boxes, las tabletas, los televisores inteligentes<\/a> e incluso los marcos de fotograf\u00edas digitales<\/a> estaban en peligro.<\/p>\n

Todav\u00eda no est\u00e1 del todo claro si la infecci\u00f3n ocurre directamente en la f\u00e1brica o en alg\u00fan momento a lo largo de la cadena de suministro entre la f\u00e1brica y las manos del comprador, pero el dispositivo ya est\u00e1 infectado antes de encenderse por primera vez. En general, se trata de un tipo de malware sofisticado llamado Triada, que fue identificado por primera vez por los analistas de Kaspersky en 2016<\/a>. Es capaz de meterse en cada aplicaci\u00f3n en ejecuci\u00f3n para interceptar informaci\u00f3n: robar tokens de acceso y contrase\u00f1as para aplicaciones de mensajer\u00eda y redes sociales populares, desviar mensajes SMS (\u00a1cuidado con los c\u00f3digos de confirmaci\u00f3n!), redirigir a los usuarios a sitios con muchos anuncios e incluso ejecutar un proxy directamente en el tel\u00e9fono para que los atacantes puedan navegar por la web utilizando la identidad de la v\u00edctima.<\/p>\n

T\u00e9cnicamente, el troyano est\u00e1 integrado directamente en el firmware del tel\u00e9fono inteligente y la \u00fanica forma de eliminarlo es actualizar el dispositivo con un sistema operativo limpio. Una vez que se observa el sistema en detalle, se suele descubrir que el dispositivo tiene mucha menos RAM o almacenamiento de lo que se anuncia, lo que significa que el firmware le est\u00e1 mintiendo al propietario para vender una configuraci\u00f3n de hardware barata como algo m\u00e1s pr\u00e9mium.<\/p>\n

Otra amenaza com\u00fan preinstalada es la botnet BADBOX 2.0<\/a>, que tambi\u00e9n tiene una doble funci\u00f3n como proxy y motor de fraude publicitario. Esta se especializa en TV boxes y hardware similar.<\/p>\n

C\u00f3mo seguir usando Android sin perder la cabeza<\/h2>\n

A pesar de la creciente lista de amenazas, a\u00fan puedes usar tu tel\u00e9fono inteligente Android de forma segura. Solo debes atenerte a algunas reglas estrictas de higiene m\u00f3vil.<\/p>\n