Si quieres vigilar a tu novia o amigo, cuidado: apps para espiar celulares terminaron afectando a otros

Millones de personas descargaron aplicaciones que prometían acceder a llamadas telefónicas y conversaciones de WhatsApp de terceros, pero terminaron siendo víctimas de una estafa. Investigadores de la empresa de ciberseguridad ESET descubrieron una red de 28 aplicaciones fraudulentas distribuidas a través de Google Play que cobraban hasta 80 dólares por información completamente inventada.

La campaña, denominada CallPhantom, consiguió más de 7,3 millones de descargas antes de que Google retirara las aplicaciones de su tienda oficial. Los ciberdelincuentes aprovecharon la curiosidad de los usuarios y utilizaron falsas promesas de espionaje para obtener dinero mediante suscripciones y pagos directos.

Según los investigadores de ESET, ninguna de las aplicaciones tenía capacidad para acceder a las comunicaciones de otras personas. En realidad, todo lo que mostraban eran datos generados de forma artificial para dar la impresión de que estaban obteniendo información real.

Cómo funcionaba la estafa

El mecanismo utilizado por los ciberdelincuentes era sencillo, pero efectivo. Después de instalar una de las aplicaciones, el usuario debía ingresar el número de teléfono de la persona cuya actividad quería consultar. A continuación, aparecían barras de progreso, animaciones y mensajes que simulaban un proceso de análisis en tiempo real.

Una vez finalizado el supuesto procedimiento, la aplicación informaba que había encontrado llamadas, nombres y conversaciones. Sin embargo, para acceder a esos resultados era necesario pagar una suscripción.

El análisis realizado por ESET reveló que toda la información era falsa. Los investigadores explicaron que las aplicaciones combinaban números telefónicos codificados previamente, nombres predefinidos y marcas de tiempo generadas aleatoriamente para crear la apariencia de datos auténticos.

“Nuestro análisis reveló que los resultados mostrados a las víctimas son completamente fabricados”, señalaron desde la compañía.

Aprovecharon la curiosidad de los usuarios

ESET indicó que no está claro cómo se promocionaron estas aplicaciones, aunque considera que los delincuentes se beneficiaron del interés que generan este tipo de herramientas. Además, algunas aplicaciones incluían reseñas falsas que contribuían a generar una sensación de legitimidad.

En ciertos casos, los desarrolladores utilizaban nombres engañosos como “Indian gov.in”, con el objetivo de aparentar una vinculación con organismos oficiales. La presión para conseguir que los usuarios pagaran también formaba parte de la estrategia.

Si una persona intentaba abandonar la aplicación sin contratar una suscripción, recibía notificaciones que aseguraban que los resultados ya estaban listos y que solo debía desbloquearlos mediante un pago.

Las suscripciones llegaban hasta los 80 dólares

Los investigadores detectaron diferentes modalidades de cobro. Algunas aplicaciones ofrecían planes básicos por unos cinco euros, mientras que las suscripciones más costosas podían alcanzar los 80 dólares anuales.

Los pagos se realizaban a través del sistema oficial de Google Play, pero también mediante servicios de terceros e incluso formularios que solicitaban directamente los datos de las tarjetas bancarias.

Esta última modalidad representa un riesgo adicional para las víctimas, ya que Google no puede intervenir ni gestionar reembolsos cuando el pago se efectúa fuera de su plataforma.

La compañía de ciberseguridad advirtió que quienes ingresaron los datos de su tarjeta directamente en las aplicaciones podrían quedar expuestos a cargos no autorizados.

Qué hacer si descargaste alguna de estas aplicaciones

ESET recomienda actuar de inmediato en caso de haber instalado alguna de las herramientas relacionadas con CallPhantom.

La primera medida consiste en revisar las suscripciones activas dentro de Google Play. Para ello, los usuarios deben ingresar en Perfil, luego en “Pagos y suscripciones” y finalmente en “Suscripciones”.

Si existe algún pago asociado, es recomendable cancelarlo manualmente. En aquellos casos en los que la compra se haya realizado mediante el sistema oficial de Google Play, también es posible solicitar un reembolso siguiendo las políticas de la compañía.

Por otra parte, quienes hayan introducido los datos de su tarjeta directamente dentro de las aplicaciones deberían comunicarse con su banco para bloquear el medio de pago y desconocer cualquier operación sospechosa.

Por qué estas promesas son imposibles de cumplir

Los investigadores de ESET subrayan que ninguna aplicación legítima puede acceder a las llamadas, mensajes o conversaciones privadas de otra persona sin su consentimiento y sin tener acceso físico al dispositivo.

Por ello, cualquier herramienta que prometa espiar las comunicaciones de terceros debe considerarse una señal de alerta.

“Es imposible que una aplicación legítima obtenga datos privados de otro número sin el consentimiento y acceso físico al dispositivo; cualquier promesa en sentido contrario es, por definición, una estafa”, concluyeron los especialistas.

El caso de CallPhantom demuestra que, en muchos casos, quienes intentan obtener información privada de otras personas terminan convirtiéndose en las verdaderas víctimas del fraude.