- Android concentra la mayoría de infecciones móviles en América Latina, impulsadas por móviles desactualizados y un ecosistema muy fragmentado.
- Tres familias de malware destacan: el exploit CVE-2012-6636, la familia Lotoor y el troyano Pandora vinculado a botnets tipo Mirai.
- Los atacantes se apoyan en SMS, apps de mensajería, APK fuera de tiendas oficiales y aplicaciones fraudulentas que se cuelan en marketplaces.
- Actualizar el sistema, limitar la instalación de APK desconocidas y usar soluciones de seguridad fiables son claves para reducir el riesgo, también para usuarios en Europa.
El sistema operativo Android se ha convertido en el principal objetivo del cibercrimen móvil en América Latina, con un volumen de detecciones de malware muy superior al de otras regiones. México, Brasil y otros países del entorno concentran buena parte de estas amenazas, en un contexto donde el teléfono móvil es prácticamente la puerta de entrada a la vida digital.
Este escenario no solo preocupa a usuarios y empresas de la región: la experiencia latinoamericana sirve como aviso para Europa y España, donde Android también mantiene una cuota mayoritaria en muchos segmentos y donde empiezan a replicarse patrones similares de fraude, instalación de APK externas y uso intensivo de dispositivos poco actualizados.
Por qué América Latina es un blanco tan atractivo para el malware en Android
Según los análisis publicados por ESET, compañía especializada en ciberseguridad, en buena parte de América Latina Android domina el mercado con una diferencia abrumadora frente a otros sistemas operativos móviles. Esto significa que, para los delincuentes, centrar sus esfuerzos en este ecosistema ofrece un retorno muy alto, tanto en número de víctimas potenciales como en volumen de datos y dinero que pueden robar.
Además, en la región conviven terminales de última generación con dispositivos antiguos que ya no reciben parches de seguridad. Esta mezcla de móviles muy modernos con teléfonos que llevan años sin actualizarse genera una superficie de ataque enorme, donde fallos conocidos desde hace tiempo siguen siendo explotables.
El fenómeno de la fragmentación de Android —múltiples versiones, capas de personalización de los fabricantes y ritmos de actualización muy desiguales— complica todavía más la situación. En la práctica, muchos usuarios se quedan anclados en versiones viejas del sistema o usan aplicaciones que incorporan componentes heredados e inseguros, algo que también puede observarse en parte del parque de móviles Android en Europa.
Para el equipo de investigación de ESET en Latinoamérica, este caldo de cultivo facilita que amenazas veteranas sigan plenamente operativas mientras aparecen variantes nuevas, a veces poco sofisticadas pero igualmente efectivas, que consiguen llegar a miles de dispositivos gracias a canales de distribución muy extendidos.
Canales de infección: de los SMS a las APK fuera de las tiendas oficiales
Uno de los elementos que más preocupa a los expertos es que siguen activos los mismos vectores de propagación que llevan años utilizando los grupos criminales en la región. No se trata solo de campañas muy técnicas, sino de métodos relativamente sencillos que se apoyan en el comportamiento cotidiano de los usuarios.
Entre los canales más habituales destacan las campañas de SMS y mensajes en aplicaciones de chat que incluyen enlaces directos a descargas maliciosas. En muchos casos se disfrazan de avisos de empresas de mensajería, bancos, organismos públicos o promociones muy atractivas, lo que anima a la víctima a pulsar sin demasiadas dudas.
Otro vector clave son las APK modificadas distribuidas fuera de las tiendas oficiales. En América Latina es habitual descargar aplicaciones desde webs de terceros, foros o enlaces compartidos en redes sociales, sobre todo cuando prometen funciones “premium” gratuitas, acceso a contenido no oficial o versiones supuestamente mejoradas de apps populares.
Incluso las tiendas oficiales no están exentas de riesgo: ESET ha detectado aplicaciones fraudulentas que consiguen colarse en marketplaces legítimos con muy pocas reseñas o actividad aparente. Suelen permanecer el tiempo suficiente para infectar a un número significativo de usuarios antes de ser retiradas, algo que también se ha visto en tiendas oficiales accesibles desde Europa.
Martina López, investigadora de seguridad de ESET Latinoamérica, resume la situación al señalar que este ecosistema mixto, con apps dudosas, enlaces engañosos y tiendas oficiales que no siempre detectan a tiempo las amenazas, facilita tanto la circulación de familias de malware ya conocidas como la aparición de variantes menos complejas que, aun así, logran un alcance considerable.
Tres familias de malware Android que dominan la región
En sus últimos informes, ESET ha puesto el foco en tres grandes familias de código malicioso que lideran las detecciones de malware Android en América Latina. No son las únicas amenazas presentes, pero sí representan muy bien cómo se aprovechan las debilidades del ecosistema y por qué siguen activas tantos años después de haber sido identificadas.
CVE-2012-6636: un exploit veterano que se resiste a desaparecer
Una de las amenazas más repetidas es Trojan.Android/Exploit.CVE-2012-6636, vinculada a una vulnerabilidad descubierta hace más de una década. Pese a su antigüedad, continúa plenamente vigente porque muchas aplicaciones de Android todavía utilizan componentes heredados con configuraciones inseguras, especialmente en el manejo de WebView.
El problema se da en apps compiladas con versiones de Android anteriores a la 4.2 que hacen uso de WebView sin las protecciones adecuadas. Aunque el móvil del usuario sea relativamente moderno, si la app se mantiene sin actualizar y conserva ese comportamiento vulnerable, sigue siendo susceptible a este tipo de exploit.
En la práctica, una página web maliciosa cargada dentro del propio WebView puede interactuar con el código de la aplicación de forma no autorizada. Esto abre la puerta a ejecutar acciones indebidas, acceder a datos internos o aprovechar la app como punto de entrada para otros ataques, todo ello sin que el usuario perciba nada extraño.
Aunque este exploit no suele protagonizar por sí solo campañas complejas, aparece con frecuencia integrado en APK distribuidas fuera de canales oficiales o en aplicaciones que han quedado abandonadas por sus desarrolladores. La existencia de exploits públicos, incluso incorporados a frameworks como Metasploit, facilita que actores maliciosos con pocos conocimientos técnicos puedan explotarlo.
Lotoor: más de diez años escalando privilegios en Android
Otra familia destacada es Trojan.Android/Exploit.Lotoor, un conjunto de exploits de escalamiento de privilegios que se utiliza desde hace más de una década para obtener acceso root en dispositivos Android. Bajo esta denominación se agrupan distintas técnicas que aprovechan vulnerabilidades en el sistema operativo, sobre todo en versiones tempranas identificadas entre 2010 y 2013.
Entre los fallos que explota Lotoor se encuentran errores en controladores, servicios del sistema o problemas en la gestión de memoria que permiten ejecutar código con privilegios superiores a los de una aplicación corriente. Una vez conseguido ese acceso ampliado, resulta mucho más sencillo alterar el funcionamiento del dispositivo sin que el usuario pueda intervenir.
En el panorama actual, los módulos de Lotoor siguen apareciendo integrados en herramientas maliciosas que buscan desinstalar soluciones de seguridad, modificar configuraciones críticas del sistema o instalar cargas adicionales (payloads) que permanecen ocultas. Para los delincuentes, es un recurso reutilizable que continúa dando resultados en dispositivos sin parchear.
No es la primera vez que el laboratorio de ESET detecta a Lotoor entre las amenazas más activas. De hecho, figura de manera recurrente en listados de malware para Android, lo que demuestra hasta qué punto la falta de actualización de ciertos terminales mantiene vivas vulnerabilidades muy antiguas, algo que también puede ocurrir en móviles vendidos en Europa que se quedan sin soporte oficial.
Pandora: Android reclutado en botnets tipo Mirai
La tercera familia resaltada es Trojan.Android/Pandora, asociada a una variante del conocido malware Mirai adaptada al entorno Android. En este caso, el objetivo principal no es tanto robar datos personales como convertir el dispositivo en parte de una botnet utilizada para realizar ataques a gran escala.
Pandora fue identificado inicialmente en 2023 en aplicaciones de streaming muy populares en América Latina, especialmente en dispositivos Android TV Box y sticks que se usan para acceder a contenido no oficial. Los atacantes distribuyen APK que parecen apps legítimas de entretenimiento, pero que incorporan un componente oculto encargado de integrar el aparato en una red de equipos infectados.
En algunos modelos, los investigadores incluso encontraron firmware modificado e infectado desde fábrica, lo que multiplica el alcance de la amenaza. Usuarios que adquieren estos dispositivos pensando que son productos normales los conectan directamente a su red doméstica, sin sospechar que ya vienen comprometidos.
Una vez que Pandora se activa, el dispositivo mantiene comunicación con servidores de comando y control (C&C), desde los que recibe órdenes para ejecutar acciones propias de botnets basadas en Mirai. Entre las más habituales se encuentran los ataques distribuidos de denegación de servicio (DDoS), que pueden dirigirse contra servicios online, webs de empresas o incluso infraestructuras críticas.
Esta tendencia de aprovechar dispositivos de consumo como parte de redes de ataque es especialmente preocupante porque suele pasar completamente desapercibida para el usuario. El impacto se nota, en muchos casos, solo en un rendimiento peor, cortes de conexión o un aumento del tráfico de datos, síntomas que rara vez se asocian de inmediato a una infección.
Más allá de América Latina: implicaciones para España y Europa
Aunque los datos más llamativos proceden de México, Brasil y otros países latinoamericanos, el escenario descrito por ESET es relevante también para usuarios y empresas de España y del resto de Europa. Android continúa siendo el sistema dominante en numerosos mercados europeos y comparte algunos de los mismos puntos débiles.
Por un lado, muchos fabricantes venden dispositivos de gama media y baja que reciben pocas actualizaciones de seguridad y quedan desprotegidos en poco tiempo. Esta situación genera un parque de móviles que, al cabo de unos años, siguen funcionando pero arrastran vulnerabilidades sin corregir, especialmente en modelos más baratos.
Por otro, se observa una creciente popularidad de Android TV Box, sticks y dispositivos similares en hogares europeos, a menudo adquiridos en marketplaces internacionales. No siempre está claro el origen de estos equipos ni el estado de su firmware, lo que abre la puerta a que ocurran incidentes parecidos a los detectados con Pandora en América Latina.
Además, el hábito de instalar aplicaciones desde sitios de terceros, foros o canales de mensajería no es exclusivo de América Latina. En España y otros países europeos también se han visto casos de malware distribuido en APK no oficiales que prometían versiones gratuitas de apps de pago, trucos para videojuegos o acceso a contenido restringido.
En este contexto global, la experiencia latinoamericana actúa como un laboratorio adelantado de tendencias de ataque. Lo que hoy se observa con mayor intensidad allí puede terminar replicándose, con matices, en otros mercados donde las condiciones técnicas y de uso no son tan diferentes como podría parecer a primera vista.
Otras amenazas móviles que preocupan a los expertos
Aunque CVE-2012-6636, Lotoor y Pandora concentran buena parte de la atención, los investigadores de ESET recuerdan que el ecosistema Android también está afectado por troyanos bancarios, apps de préstamos fraudulentos y malware más especializado que actúa de forma menos masiva pero muy dañina.
Los troyanos bancarios para Android se centran en robar credenciales de acceso a banca online y servicios financieros, superponiendo pantallas falsas, interceptando SMS de verificación o abusando de los permisos de accesibilidad. En América Latina han causado pérdidas importantes y campañas similares se han observado en Europa con adaptaciones locales.
Por otro lado, se han documentado aplicaciones de préstamos y servicios financieros que, bajo una apariencia legítima, ejercen prácticas abusivas y extorsivas, recopilando datos sensibles del usuario y de sus contactos para presionarles en caso de impago. Este tipo de fraude se apoya en la falta de educación financiera y digital, pero también en permisos excesivos concedidos a la app.
Los expertos señalan, además, el surgimiento de técnicas emergentes especialmente sofisticadas, como malware capaz de clonar tarjetas mediante NFC o herramientas que imitan de forma casi perfecta la interfaz de aplicaciones populares. Este tipo de amenazas refuerza la idea de que el ecosistema móvil está en constante evolución y no se limita a los viejos problemas de siempre.
Todo ello se suma a un panorama de ciberseguridad global marcado por ataques a cadenas de suministro, ransomware dirigido y filtraciones masivas de datos, donde el dispositivo móvil se ha convertido en una pieza clave tanto para el trabajo como para la vida personal de los usuarios, incluidos los europeos.
Cómo proteger tu móvil Android frente a estas amenazas
Ante este contexto, las recomendaciones de los especialistas son relativamente sencillas en apariencia, pero requieren cambiar algunos hábitos muy arraigados. ESET insiste en que, sin una mínima higiene digital, el riesgo de infección se mantiene elevado, sobre todo en entornos donde el móvil es el principal punto de acceso a Internet.
La primera medida es mantener el sistema operativo y las aplicaciones actualizadas. Siempre que sea posible, conviene instalar las últimas versiones de Android y los parches de seguridad del fabricante. Si el dispositivo ha dejado de recibir soporte, puede ser el momento de valorar un cambio de terminal, especialmente si se utiliza para operaciones sensibles como banca o trabajo remoto.
También es fundamental limitar la instalación de aplicaciones a tiendas oficiales o fuentes verificadas. Descargar APK desde webs desconocidas, grupos de mensajería o enlaces que llegan por SMS aumenta de forma notable la probabilidad de acabar con malware en el móvil, aunque la app prometa funciones espectaculares o contenidos exclusivos.
Antes de instalar cualquier aplicación, los expertos recomiendan revisar con calma los permisos que solicita, la actividad del desarrollador y el número real de reseñas. Una app con pocas valoraciones, comentarios muy genéricos o un desarrollador del que apenas hay información debería encender las alarmas.
Otra capa de defensa importante es contar con soluciones de seguridad confiables capaces de detectar exploits, troyanos y comportamientos sospechosos. Aunque no son infalibles, pueden bloquear muchas amenazas conocidas, alertar de actividades anómalas y servir como complemento a las protecciones nativas del sistema.
Por último, conviene no desactivar las protecciones integradas de Android, evitar habilitar por defecto la instalación de apps de orígenes desconocidos y desconfiar de mensajes, anuncios o enlaces que ofrezcan ofertas demasiado buenas para ser verdad, acceso rápido a prestaciones especiales o descuentos urgentes.
El escenario que dibujan los informes de ESET sobre América Latina muestra un ecosistema Android donde conviven viejos exploits, troyanos adaptados y nuevas técnicas de ataque, impulsados por dispositivos desactualizados, canales de distribución inseguros y una alta dependencia del móvil en la vida diaria. Tanto en la región como en España y el resto de Europa, la combinación de actualizaciones, prudencia al instalar apps y uso de herramientas de protección se vuelve clave para frenar un panorama de amenazas que, lejos de estabilizarse, sigue ganando complejidad año tras año.