Como usuario de Android, usted podría asumir que es seguro descargar aplicaciones de la Google Play Store. Eso es comprensible, pero no es del todo exacto.

Los estrictos controles de seguridad hacen que la Play Store sea el lugar más seguro para obtener aplicaciones de Android, pero no es completamente seguro. La tienda de aplicaciones de Google es un blanco principal tanto para los ciberdelincuentes como para los desarrolladores que monetizan (y, por lo tanto, comprometen) sus datos, y nunca estará 100 % libre de riesgos.

Por eso es necesario que busque aplicaciones a conciencia: analizando las aplicaciones antes de descargarlas, auditando las que ya ha descargado y protegiendo los datos de su dispositivo en caso de una vulneración.

Cómo las aplicaciones maliciosas logran evadir a Google

El año pasado, Google bloqueó la publicación de 1.75 millones de aplicaciones que infringían sus políticas(nueva ventana) y suspendió más de 80,000 cuentas de desarrolladores. Google Play Protect(nueva ventana), que está integrado en la mayoría de los dispositivos Android, bloqueó 266 millones de intentos de instalación riesgosos.

Pero Google no puede hacerlo todo. Los ciberdelincuentes encuentran constantemente formas de eludir los análisis previos a la publicación y a la instalación de Google.

Estrategias populares:

  • Presentar aplicaciones limpias para su revisión y luego introducir actividad maliciosa mediante actualizaciones remotas.
  • Disfrazar aplicaciones maliciosas como aplicaciones de utilidad sencillas (y funcionales), como un escáner de documentos o un lector de PDF.
  • Disfrazar aplicaciones maliciosas como una aplicación de seguridad o antivirus, un disfraz particularmente astuto y eficaz; si un usuario está ansioso por solucionar un problema, será menos probable que la examine minuciosamente antes de instalarla.

Cada día se publican 2,029 aplicaciones(nueva ventana) en la Play Store, por lo que es inevitable que algunas aplicaciones maliciosas burlen la red de Google. El año pasado, Bitdefender descubrió una campaña de fraude publicitario con el nombre en clave Vapor(nueva ventana) que involucraba al menos 331 aplicaciones maliciosas, algunas de las cuales recopilaban credenciales de usuarios y datos de tarjetas de crédito.

Estas aplicaciones se descargaron de la Play Store más de 60 millones de veces.

Las aplicaciones legítimas aún pueden poner en riesgo sus datos

Las aplicaciones maliciosas no son los únicos peligros que debe tener en cuenta en la Play Store. También existen aplicaciones legítimas que de forma silenciosa recopilan y almacenan sus datos personales y de seguimiento, y los comparten con terceros, como las redes de anuncios.

El año pasado, NowSecure probó 25,000 aplicaciones(nueva ventana) en iOS y Android, y descubrió que el 75 % de las aplicaciones de iOS y el 70 % de las de Android analizadas recopilaban tanto datos confidenciales como dominios de seguimiento.

Google permite estas aplicaciones en la Play Store porque sus desarrolladores revelan abiertamente qué datos recopilan y por qué en la sección de seguridad de datos de la página del producto de la aplicación.

Google endureció sus políticas en 2025, al bloquear 255,000 aplicaciones(nueva ventana) para evitar que obtuvieran un “acceso excesivo” a datos confidenciales. Eso deja miles de aplicaciones sin bloquear que recopilan datos conforme a las reglas de la política de Google, pero de una manera que aún supera con creces lo que los usuarios podrían esperar.

Esto no es solo un problema de privacidad: también es peligroso. Las aplicaciones legítimas pero ávidas de datos comparten habitualmente los datos de los usuarios con SDK publicitarios y socios de análisis. Estos terceros pueden luego transferir esos datos a corredores de datos sin escrúpulos.

Cada enlace de esta cadena es un punto potencial de vulneración. Si sus datos se ven comprometidos, es posible que no se entere hasta que sea demasiado tarde.

A qué debe prestar atención: una lista de verificación de cinco puntos

No existe una lista negra oficial y actualizada de aplicaciones prohibidas (o que deberían estarlo) a la que usted pueda recurrir.

But there are things you can look out for to identify risky apps:

  1. Revise la sección de seguridad de datos: ¿Ha explicado el desarrollador qué datos recopila y cómo los usará? Una sección de seguridad de datos vacía es una gran señal de alerta, por supuesto, pero también lo es una política que no coincide con la funcionalidad de la aplicación. Una aplicación de linterna no debería necesitar conocer sus contactos.
  2. Lea los permisos de instalación: Una vez que haya instalado una aplicación, a menudo le solicitará acceso a su ubicación, contactos, almacenamiento, ubicación o micrófono. A veces eso tiene sentido, pero otras veces puede parecer excesivo. Una vez más, ¿una aplicación de fondos de pantalla necesita conocer su ubicación?
  3. Verifique el nombre y el historial del desarrollador: ¿Es el desarrollador una empresa registrada con otras aplicaciones publicadas y presencia en la web? ¿O se trata de una cuenta de una sola persona con esta única aplicación a su nombre y sin ningún rastro que aporte contexto? 
  4. Compruebe si las opiniones son reales: Las opiniones falsas suelen mostrarse con patrones evidentes. Una avalancha de opiniones de cinco estrellas publicadas en un corto periodo es una táctica de manipulación conocida. Busque opiniones críticas intercaladas con opiniones positivas, y una amplia variedad de fechas.
  5. Tenga cuidado con las aplicaciones de utilidad gratuitas: Los disfraces más comunes tanto para las aplicaciones maliciosas como para las que recopilan datos son las aplicaciones gratuitas de linterna y batería, las aplicaciones de teclado, los editores de fotos gratuitos, las aplicaciones del clima con acceso a la ubicación y los juegos con publicidad. Si una aplicación es gratuita y usted no ve cómo su función podría hacer ganar dinero a sus desarrolladores, entonces la respuesta podría ser que sus datos son su modelo de ingresos.

Cómo proteger sus datos

Incluso si ha tomado las debidas precauciones, es posible que acabe descargando una aplicación maliciosa de la Play Store. Pero con las protecciones adecuadas, usted puede limitar el daño que esa aplicación puede causar.

Cifre su conexión con Proton VPN

Las aplicaciones maliciosas a menudo intentarán transmitir sus datos (incluido su comportamiento de navegación, ubicación e identificadores del dispositivo) a través de una conexión sin cifrar.

Aquí es donde entra Proton VPN: una VPN segura(nueva ventana) que

  • Cifra todos los datos que entran y salen de su teléfono a nivel de red, lo que dificulta significativamente la transmisión y la interceptación del comportamiento de navegación, la ubicación y los identificadores del dispositivo
  • Evita la vigilancia a nivel de red en redes WiFi públicas (un vector de ataque común(nueva ventana) para aplicaciones comprometidas) 
  • Bloquea las transmisiones de datos en las que se basan los SDK de análisis (a través del bloqueador de rastreadores integrado NetShield(nueva ventana)), lo que limita los datos que los desarrolladores pueden compartir con terceros

Proteja sus credenciales con Proton Pass

Las aplicaciones maliciosas utilizan registradores de pulsaciones de teclas (keyloggers) invisibles y superposiciones de suplantación de identidad (phishing) para robar las credenciales de inicio de sesión. Esto puede ser especialmente perjudicial si usted, al igual que muchos, reutiliza las mismas contraseñas en varias cuentas.

Proton Pass es un gestor de contraseñas seguro que aborda ambos problemas:

  • Genera contraseñas únicas para cada cuenta que usted cree, de modo que si una se ve vulnerada, no se verán vulneradas todas
  • Protege contraseñas, claves de acceso y tarjetas de crédito con cifrado de extremo a extremo y de conocimiento cero. Esto significa que sus credenciales se cifran en su dispositivo antes de salir de él, y ni siquiera Proton puede acceder a ellas.

Sepa cómo borrar el malware

Si le preocupa que su dispositivo pueda haberse visto comprometido, o si desea saber qué buscar cuando sea así, asegúrese de reconocer las señales de que su teléfono ha sido hackeado.