El último corte anual de Zscaler revela una presión creciente sobre el ecosistema Android: entre junio de 2024 y mayo de 2025 se identificaron 239 aplicaciones maliciosas en Google Play, con más de 42 millones de descargas, y un incremento del 67% en los ataques a dispositivos móviles. Las cifras confirman una evolución sostenida de las amenazas y un perfeccionamiento de las técnicas de distribución, monetización y evasión.
Panorama de amenazas móviles: adware e infostealers a la cabeza
El adware sigue siendo el actor dominante, responsable del 69% de los casos detectados. Este tipo de malware abusa de permisos y de servicios del sistema para mostrar anuncios persistentes, generar clics fraudulentos y recopilar telemetría sin consentimiento. En segundo lugar aparece el infostealer Joker (23%), conocido por el robo de datos, la interceptación de SMS y fraudes de suscripción. La receta se mantiene: aplicaciones que se hacen pasar por utilidades legítimas, capturan permisos sensibles (incluido Accessibility Services) y activan cargas maliciosas de forma dinámica para eludir controles.
Fraude en pagos móviles: la ingeniería social maximiza el ROI criminal
Los ataques a pagos móviles se consolidan como vector de alto retorno. Los operadores criminales migran de técnicas clásicas de clonado de tarjetas a ingeniería social escalable: phishing, smishing (SMS), SIM swapping y variantes de vishing. El objetivo es sortear la fricción de los controles antifraude explotando el eslabón humano: urgencia, autoridad y suplantación de entidades de confianza. Este enfoque reduce costes, aumenta tasas de éxito y se alinea con la tendencia sectorial hacia ataques centrados en el usuario.
Espionaje móvil en auge: +220% e instrumentos preferidos
El reporte registra un incremento del 220% en aplicaciones espía, con familias como SpyNote, SpyLoan y BadBazaar como protagonistas. Estas herramientas ofrecen captura de pantalla, keylogging, acceso a cámara y micrófono, exfiltración de contactos y mensajes, e incluso chantaje mediante la obtención de material sensible. La disponibilidad de kits listos para usar y RATs de bajo coste, además del abuso de funciones de accesibilidad, favorecen su expansión.
Mapa de riesgo: India, EE. UU. y Canadá concentran la presión
Los usuarios de India, Estados Unidos y Canadá acumulan el 55% de los incidentes. Destacan, por su crecimiento interanual, Italia e Israel, con saltos de 800–4000% asociados a campañas de phishing localizadas y a la explotación de servicios y marcas con gran adopción regional. La geolocalización de campañas permite adaptar señuelos, horarios y lenguaje, elevando la tasa de infección.
Familias peligrosas e infraestructura encubierta en Android
Zscaler subraya tres familias de malware especialmente extendidas (sin detallar nombres) con rasgos comunes: abuso de permisos del sistema, canales de mando y control resistentes y uso de paquetes firmados con cargas dinámicas. Este modelo dificulta la detección estática, mejora la persistencia y permite activar funciones maliciosas bajo demanda, reduciendo la huella inicial y evadiendo análisis automatizados.
Ataques a IoT: routers domésticos y SOHO como eslabón de la cadena
El perímetro se amplía con el aumento de ataques a dispositivos IoT, especialmente routers domésticos y de pequeñas oficinas. La explotación de vulnerabilidades y credenciales por defecto los integra en botnets para actuar como nodos proxy, distribuir malware y ocultar la infraestructura de C2. Esta “borde nublado” complica la atribución, añade resiliencia a las campañas y crea saltos laterales hacia redes internas.
Recomendaciones de seguridad: Android e IoT con defensa en profundidad
Actualizaciones y procedencia: aplicar parches de sistema y apps con regularidad; evitar APK de origen desconocido; desconfiar de apps que soliciten permisos intrusivos (especialmente Accessibility, superposición de pantalla y acceso a SMS).
Play Protect y gobierno de permisos: ejecutar análisis periódicos; auditar el inventario de aplicaciones; revocar permisos no esenciales y limitar notificaciones con contenido sensible.
Pagos y comunicaciones seguras: no abrir enlaces de SMS o mensajería; validar solicitudes por un canal alternativo; activar PIN/PUK de la SIM; usar MFA robusta (preferible TOTP o llave física frente a SMS); monitorizar movimientos bancarios.
Higiene IoT: cambiar contraseñas de fábrica; desactivar servicios innecesarios (UPnP/telnet); segmentar IoT en red invitada o VLAN; actualizar firmware del router y habilitar actualizaciones automáticas cuando existan.
Los datos de Zscaler confirman que la combinación de ingeniería social y aplicaciones maliciosas mantiene a la movilidad como un objetivo prioritario. Auditar permisos, reforzar la autenticación, segmentar la red doméstica y mantener un ciclo disciplinado de actualizaciones reduce drásticamente la superficie de ataque. Es un buen momento para revisar la política de instalación de apps, activar protecciones nativas y formar a usuarios y equipos: la prevención continua sigue siendo la inversión más rentable frente a amenazas en evolución.
