Las aplicaciones falsas de acoso acumularon millones de descargas. Dice mucho sobre la seguridad de Google y sobre nosotros.

      No hay ninguna aplicación que te permita acceder al historial de llamadas de otra persona. Nunca ha existido, y casi con certeza nunca existirá: los operadores no exponen esos datos, y ningún desarrollador de terceros tiene el acceso necesario para recuperarlos. Esto no es un área gris; simplemente no es posible. Y aun así, 7.3 millones de personas, según welivesecurity, han descargado aplicaciones que afirmaban hacer exactamente eso.

      Investigadores de seguridad de ESET pasaron meses desenredando una extensa familia de 28 aplicaciones fraudulentas de Android que colectivamente llamaron CallPhantom: aplicaciones que prometían a los usuarios una ventana a la actividad telefónica de cualquiera: registros de llamadas, registros de SMS, incluso el historial de WhatsApp. Introduce un número, paga una pequeña tarifa, y los secretos de quien estabas buscando supuestamente saldrían a la luz. Lo que realmente salió fue ficción: números de teléfono aleatorios disfrazados con nombres y marcas de tiempo codificados, generados por la propia aplicación, diseñados para parecer lo suficientemente convincentes como para parecer reales. La trampa es que los usuarios solo veían estos datos falsos después de haber pagado. Esa secuenciación no fue accidental.

      Google Play Store tuvo un grave punto ciego aquí

      Las 28 aplicaciones estuvieron en Google Play Store el tiempo suficiente para acumular millones de descargas. Una de ellas fue publicada bajo el nombre “Indian gov.in”, un nombre de desarrollador que implicaba una legitimidad gubernamental que no tenía derecho a reclamar. Varias tenían secciones de reseñas llenas de usuarios escribiendo explícitamente que habían sido estafados, y esas advertencias coexistían con grupos de reseñas de cinco estrellas sospechosamente entusiastas que mantenían las calificaciones con un aspecto respetable.

      WeLiveSecurity

      ESET alertó a Google sobre el conjunto completo en diciembre de 2025, y las aplicaciones fueron eliminadas. Pero la eliminación provino de un informe externo, no de que Google detectara algo por sí mismo. Para una plataforma que ha invertido mucho en detección automatizada de amenazas y en el marco de App Defense Alliance, permitir que 28 variantes de la misma estafa —todas prometiendo la misma característica técnicamente imposible— acumularan millones de descargas es una brecha significativa.

      Algunas aplicaciones empeoraron las cosas al eludir por completo la infraestructura de pago de Google, dirigiendo a los usuarios a transacciones UPI de terceros o a campos de entrada de tarjeta directa incrustados en la aplicación. Eso es una violación de la política de Play Store, pero también significa que Google no puede emitir reembolsos a esos usuarios. Cualquiera que pagó fuera del sistema de facturación oficial tiene que perseguir al proveedor de pagos por sí mismo, o a los desarrolladores, que, no hace falta decir, no están particularmente motivados para ayudar.

      Las aplicaciones funcionaron porque la propuesta era irresistible

      La parte más incómoda de esta historia es lo que impulsó las 7.3 millones de descargas en primer lugar. Estas aplicaciones no ofrecían almacenamiento en la nube ni una nueva forma de editar fotos. Ofrecían algo que la gente realmente quería lo suficiente como para pagar: la capacidad de espiar a alguien —una pareja, un ex, un adolescente o un contacto comercial. Cualquiera que sea la razón, claramente había una gran audiencia dispuesta para la idea.

      Las aplicaciones se aprovecharon de ese deseo con una precisión implacable. Preseleccionaron el código de país +91 de India por defecto y admitieron pagos UPI, lo que indica que los estafadores entendían bien a su demografía objetivo. Los niveles de suscripción variaban desde unos pocos euros por semana hasta 80 dólares al año, dando a los usuarios opciones que parecían un servicio legítimo y atendían diferentes necesidades. Una aplicación, cuando un usuario intentó salir sin pagar, envió una notificación push falsa diseñada para parecer que acababa de llegar un correo electrónico con los resultados: un empujón de última hora que conducía directamente de vuelta al muro de pago.

      WeLiveSecurity

      Funcionó porque la curiosidad es algo poderoso, y las aplicaciones fueron diseñadas por personas que entendían eso. Si quitas la estructura técnica, lo que tienes es una estafa muy antigua: cobrarle a alguien por algo que desea desesperadamente, darle un nada que parece plausible y contar con la vergüenza para evitar que se quejen demasiado fuerte.

      Para cualquiera atrapado en esto, las suscripciones procesadas a través del sistema oficial de Google Play pueden cancelarse —y potencialmente reembolsarse— a través de la configuración de pagos de Play Store. Todo lo demás es una conversación más difícil con quien procesó el pago.