En 2024, Malwarebytes detectó más de 22 800 aplicaciones de phishing en Android, según el reciente informe State of Malware 2025. De esas aplicaciones maliciosas, 5200 podrían subvertir la autenticación multifactor, una de las prácticas de seguridad más sólidas disponibles en la actualidad, al espiar los mensajes de texto básicos enviados a un dispositivo.
Otras 4800 podrían incluso leer información de la barra de «Notificaciones» de un dispositivo Android para obtener la misma información.
Puede que estas “aplicaciones de phishing para Android” suenen a alta tecnología, pero no lo son. No piratean los administradores de contraseñas ni espían las contraseñas introducidas en distintas aplicaciones. En cambio, presentan una forma moderna de envolver una forma clásica de robo: el phishing.
Al hacerse pasar por aplicaciones legítimas (como TikTok, Spotify y WhatsApp), las apps de phishing para Android pueden engañar a las víctimas para que escriban sus nombres de usuario y contraseñas reales en pantallas de inicio de sesión falsas que están totalmente controladas por ciberdelincuentes.
Si suficientes víctimas envían sus contraseñas sin saberlo, los ciberdelincuentes pueden incluso agrupar las credenciales de inicio de sesión para venderlas en la dark web.
Una vez vendidas las contraseñas, los nuevos propietarios maliciosos intentarán usar contraseñas individuales para una variedad de cuentas en línea comunes para probar si, por ejemplo, la contraseña de una cuenta de correo electrónico es la misma que se usa para plataformas de pago o billeteras de criptomonedas.
El volumen de estas aplicaciones y sus capacidades subrayan la importancia de protegerse a sí mismo y a sus dispositivos. Con vigilancia, comportamiento seguro y algo de apoyo adicional, es posible evitar las aplicaciones de phishing de Android y proteger sus cuentas de los cibercriminales.
Del email a las aplicaciones de phishing
Durante más de una década, el phishing se entendía a menudo como una amenaza por correo electrónico. Los cibercriminales enviaban correos electrónicos camuflados como comunicaciones legítimas de grandes empresas, como Netflix, Uber, Instagram, Google y otras.
Estos correos electrónicos advertían con frecuencia a los destinatarios sobre un problema con sus cuentas (por ejemplo, que era necesario actualizar una contraseña o que un cambio de política requería iniciar sesión).
Pero cuando las víctimas hacían clic en los enlaces incluidos en estos correos electrónicos maliciosos, eran redirigidas a un sitio web que, aunque parecía genuino, en realidad estaba bajo el control total de los cibercriminales.
Engañadas por esquemas de colores similares, logotipos de empresas y diseños familiares, las víctimas «iniciaban sesión» en su cuenta ingresando su nombre de usuario y contraseña. En realidad, esos nombres de usuario y contraseñas simplemente se cedían ‘en bandeja de plata’ a los cibercriminales del otro lado del sitio web.
La evolución del phishing
Con el tiempo, los correos electrónicos de phishing han avanzado (los cibercriminales han robado detalles de tarjetas de crédito haciéndose pasar por organizaciones benéficas), pero también lo han hecho las protecciones contra phishing de los principales proveedores de correo electrónico, enviando muchos esfuerzos cibernéticos a las bandejas de entrada de «spam» de las personas, donde, afortunadamente, los correos electrónicos nunca se recuperan.
Pero el año pasado, los cibercriminales se centraron en una nueva vía de phishing: comenzaron a desarrollar aplicaciones móviles completas para Android que podían ofrecer el mismo nivel de robo.
El atractivo que convence a las personas a descargar estas aplicaciones varía:
- Algunas aplicaciones de phishing se disfrazan de videojuegos o utilidades normales que pueden pedir a los usuarios que se conecten con una cuenta de redes sociales independiente para que la aplicación principal funcione. Las solicitudes son falsas y simplemente un método para recopilar contraseñas
- Otras se hacen pasar por apps populares, como TikTok, WhatsApp y Spotify. Estas aplicaciones señuelo suelen estar alojadas en tiendas de aplicaciones móviles menos populares, ya que las protecciones de la tienda Google Play suelen marcar y eliminar estas aplicaciones falsas
En este último caso, los ciberdelincuentes han vuelto a encontrar lagunas.
El año pasado, Malwarebytes descubrió aplicaciones de phishing para Android que no contienen ningún código (ni “instrucciones” programáticas) para robar contraseñas. En cambio, las aplicaciones simplemente muestran anuncios que, si se hace clic en ellos, envían a las víctimas a sitios web externos que realizan todo el trabajo cibercriminal fuera de la aplicación.
Estas aplicaciones “benignas” tienen más posibilidades de estar alojadas en tiendas de aplicaciones móviles legítimas, lo que les da una mayor visibilidad entre la gente común y, por lo tanto, más posibilidades de robar información.
El problema de un tipo específico de autenticación multifactor
Pero lo más preocupante, advierte Malwarebytes, es el reciente desarrollo de aplicaciones de phishing para Android que violan la autenticación multifactor, una de las prácticas de seguridad digital más sólidas que se utilizan hoy en día.
La autenticación multifactor es una medida de seguridad que ofrecen la mayoría de las principales plataformas en línea, incluidos bancos, sistemas de jubilación, empresas de redes sociales, proveedores de correo electrónico y más.
Con la autenticación multifactor, un nombre de usuario y una contraseña ya no son suficientes para iniciar sesión en una cuenta. En su lugar, la plataforma enviará un «código» independiente, generalmente un número de seis dígitos, que el usuario también debe ingresar para completar el proceso de inicio de sesión. Este código a menudo se envía como un mensaje de texto directamente al usuario, que ha registrado su número de teléfono en la plataforma.
Pero ahora los códigos de autenticación multifactor también pueden ser robados por aplicaciones de phishing de Android.
El año pasado, Malwarebytes encontró 5200 aplicaciones que podían robar estos códigos, ya sea accediendo directamente a ciertos mensajes de texto o robando información de la barra de “Notificaciones” de un dispositivo, que puede ofrecer resúmenes oportunos o avisos para múltiples aplicaciones.
Esto no hace que la autenticación multifactorial sea inútil, sino que pone énfasis en un enfoque más integral de la ciberseguridad que, como mínimo, incluye la autenticación multifactorial.
Cómo mantenerse a salvo de las aplicaciones de phishing en Android
Las aplicaciones de phishing para Android son sencillas, eficaces y difíciles de detectar a simple vista. Sin embargo, existen comportamientos y herramientas que pueden ayudar a protegerte a ti y a tus cuentas.
Para protegerse de las aplicaciones de phishing de Android:
- Utiliza un software de seguridad móvil que detecte y evite que las aplicaciones de phishing de Android se instalen en tu dispositivo
- Antes de descargar cualquier aplicación, fíjate en la cantidad de reseñas que tiene. Una cantidad baja de reseñas puede indicar que se trata de una aplicación engañosa
- La mayoría de las personas solo necesitarán descargar aplicaciones de Android directamente desde Google Play Store. Desconfía de otras tiendas de aplicaciones o mercados y nunca descargues una aplicación móvil directamente desde un sitio web
- Utiliza un administrador de contraseñas como LastPass u otro para crear y administrar contraseñas únicas para cada cuenta. De esa manera, si alguien logra robar una contraseña, no se podrá usar de forma indebida para abrir otras cuentas en línea
- Utiliza la autenticación multifactor en tus cuentas más confidenciales, incluidas sus plataformas financieras, de correo electrónico, de redes sociales, de atención médica y gubernamentales
- El método más recomendado de autenticación multifactor es a través de aplicaciones como Google Authenticator o Authy, que generan códigos aleatorios válidos por segundos. El mensaje de texto o la llamada telefónica no están entre los más seguros, de acuerdo con los especialistas en seguridad digital
No dejes de leer: Cómo convertir tu teléfono viejo en una cámara de seguridad para tu hogar
