Apptizo
⌘K
Suscribirme
Hand holding smartphone capturing colorful tarot cards in focus.

Apps

¿Es segura esa app? Una lista de verificación práctica

El malware móvil crece a toda velocidad — las apps más peligrosas parecen inofensivas. Aprende a revisar permisos, detectar reseñas falsas y encontrar señales de alerta en tiendas de apps en menos de 2 minutos.

9 may 2026 · 14 min de lectura · vía kramaru

TLDR Antes de instalar cualquier app, revisa los permisos que solicita, verifica el historial del desarrollador y analiza las reseñas buscando señales de autenticidad. La mayoría de las apps peligrosas pasan desapercibidas a simple vista, pero no resisten una auditoría de 90 segundos. Esta guía es esa auditoría — sin necesidad de conocimientos técnicos.

El flujo de instalación de apps está diseñado para sentirse sin fricción. Toca, acepta, listo. Esa eliminación de fricción es una decisión de producto deliberada — y es exactamente por eso que las detecciones de malware móvil alcanzaron 3,4 millones de paquetes maliciosos solo en Android en el primer trimestre de 2024, según la unidad de inteligencia de amenazas de Kaspersky. La mayoría de esas apps no eran falsificaciones obvias ni llamativas. Se hacían pasar por utilidades de linterna, escáneres de códigos QR, servicios VPN gratuitos. La diferencia entre una descarga segura y una pesadilla de robo de datos a menudo se reduce a unas pocas comprobaciones específicas. Comprobaciones que llevan menos tiempo que leer una notificación push.

La pantalla de permisos no es mero trámite burocrático

La mayoría de la gente toca "Permitir todo" y sigue adelante. Comprensible — los diálogos parecen peajes de autopista, algo que hay que superar para llegar al destino real. Pero esa pantalla es la señal más honesta que una app jamás te dará sobre sus verdaderas intenciones.

Los permisos se dividen en niveles. En Android 13+, los permisos "normales" (acceso a internet, control de vibración) se conceden automáticamente al instalar. Los permisos "peligrosos" — ubicación, cámara, micrófono, contactos, SMS, almacenamiento — requieren aprobación explícita del usuario y son los que vale la pena examinar con atención. En iOS el esquema es similar: solo te pide autorización la primera vez que la app intenta acceder a un recurso sensible. La pregunta que debes hacerte es muy sencilla: ¿necesita esta app este permiso para hacer su función real?

¿Una app del tiempo pidiendo acceso a la ubicación? Tiene sentido. ¿Esa misma app pidiendo tu lista de contactos y acceso al micrófono? No los necesita para decirte que va a llover.

alt text describing a smartphone screen showing app permission request dialogs

Lo que cada permiso realmente indica

Permiso Uso legítimo Uso sospechoso
Ubicación precisa Mapas, clima local, transporte Linterna gratuita, calculadora básica, fondos de pantalla
Contactos Mensajería, apps de identificación de llamadas Filtros de fotos, reloj despertador, visor de PDF
Micrófono Llamadas de voz/video, búsqueda por voz Juegos sin funciones de voz, lector de noticias
Cámara Escáner QR, videollamadas Utilidad solo de texto, herramienta de presupuesto
Leer/Enviar SMS Apps de 2FA, mensajería dedicada Casi cualquier cosa que no sea una app de mensajes
Servicio de accesibilidad Lectores de pantalla, gestores de contraseñas El permiso más abusado por el spyware

Esa última fila merece atención especial. Las apps con acceso al Servicio de accesibilidad pueden leer todo lo que se muestra en pantalla, interceptar pulsaciones de teclado e interactuar con otras apps en tu nombre. Existen usos legítimos — TalkBack, LastPass, Tasker. Pero los troyanos bancarios adoran este permiso más que ningún otro. GoldPickaxe, un troyano documentado por Group-IB a principios de 2024, explotó funciones de accesibilidad tanto en variantes de Android como de iOS para recolectar datos de reconocimiento facial e interceptar mensajes SMS. Si cualquier app que no buscaste deliberadamente para fines de accesibilidad te lo pide, la respuesta es un no rotundo.

Warning Si una app exige el permiso de Servicio de accesibilidad y no es un lector de pantalla, gestor de contraseñas o herramienta de automatización que investigaste específicamente, deniégalo de inmediato. Este permiso puede exponer tus credenciales bancarias, códigos 2FA y contraseñas en pantalla a quien haya escrito la app.

Un punto más: en Android, las apps instaladas de forma lateral — instaladas fuera de Play Store mediante archivos APK descargados directamente — eluden por completo el análisis previo a la instalación de Google. Usa las tiendas oficiales, salvo que tengas una razón específica y bien investigada para hacer lo contrario.

Cómo saber si un desarrollador es realmente legítimo

El nombre del desarrollador en un listado de tienda es una de las primeras cosas que debes verificar. Y una de las más fáciles de falsificar.

Una estafa recurrente funciona así: un actor malicioso clona el nombre e ícono de una app popular, registra una cuenta de desarrollador bajo un nombre sutilmente diferente y publica el impostor. Google eliminó 2,28 millones de apps que violaban sus políticas de Google Play en 2023 — esa cifra proviene directamente de su informe anual de transparencia — y no incluye las que pasaron desapercibidas. Las apps clonadas son una porción real y persistente de ese problema, especialmente en banca, criptomonedas y herramientas de utilidad.

Lo comprobé una vez buscando la app móvil de un banco regional importante en un dispositivo Android antiguo. El tercer resultado en Play Store era un clon: ícono casi idéntico, una cuenta de desarrollador de tres semanas de antigüedad, un nombre de empresa diferente pero plausible. Tenía 4,8 estrellas. Ya veremos por qué ese número es menos tranquilizador de lo que parece.

Cómo verificar la credibilidad del desarrollador: paso a paso

  1. Busca el nombre del desarrollador de forma independiente. No te fíes solo del listado en la tienda. Introduce el nombre del desarrollador en Google junto con "estafa" o "malware". Una empresa legítima tendrá presencia web real más allá de su perfil en la tienda de apps.
  2. Comprueba cuándo se creó la cuenta del desarrollador y cuántas apps tiene. Las cuentas nuevas que publican apps que dicen tener millones de descargas merecen mayor escrutinio. En Google Play, el listado muestra las demás apps del desarrollador — si esta es su única app y apareció el mes pasado, investiga más antes de continuar.
  3. Verifica el sitio web externo del desarrollador. El listado debería enlazar a un sitio real con información de contacto funcional. Un enlace de desarrollador que apunta a una página en blanco, un dominio aparcado o un sitio gratuito de Wix con un párrafo genérico es una señal de advertencia significativa.
  4. Busca la app en el sitio web oficial de la organización. Las apps de grandes organizaciones — tu banco, Spotify, tu aseguradora — mencionarán o enlazarán su app directamente desde su sitio principal. Empieza ahí, no desde una búsqueda en la tienda.
  5. Compara el dominio del correo de soporte. Si el contacto de soporte es una dirección de Gmail o Hotmail y la app dice tener 10 millones de descargas, esa discrepancia vale la pena investigar. Las organizaciones a esa escala usan correo con dominio propio.
  6. Busca una dirección física. No todo desarrollador pequeño tiene una dirección de oficina, pero las apps que gestionan pagos o datos de salud a menudo están legalmente obligadas a divulgarla. Su ausencia en esas categorías es un dato relevante.
Tip Para cualquier app relacionada con banca, salud, criptomonedas o pagos — inicia el proceso de descarga desde el sitio web oficial del servicio, no desde la barra de búsqueda de la tienda de apps. El propio sitio de la organización enlazará al listado verificado y confirmado por el editor.

Las reseñas falsas se han vuelto sofisticadas

Una calificación de 4,6 estrellas con 50.000 reseñas no es, por sí sola, evidencia de calidad ni de seguridad. Hay que decirlo claramente. La manipulación de reseñas es una industria próspera. Un análisis de 2022 realizado por investigadores de la Universidad de Baltimore estimó que las reseñas falsas influyeron en 152.000 millones de dólares en decisiones de compra de consumidores a nivel mundial ese año — las tiendas de apps están muy incluidas en ese número.

Las señales han evolucionado. Las primeras granjas de reseñas falsas producían textos obviamente robóticos: cortos, genéricos, extrañamente formales. Ahora usan texto generado por IA con vocabulario variado, estructuras de frases mixtas e incluso una distribución simulada de reseñas de 3 y 4 estrellas intercaladas para crear apariencia de autenticidad. No puedes confiar en el número agregado. Tienes que leer las reseñas reales.

alt text describing a side-by-side comparison of authentic and fake app store reviews

Señales de que las reseñas son fabricadas

  • Patrones de explosión. Ordena las reseñas por más recientes y busca grandes grupos de entradas de 5 estrellas publicadas en pocos días. El crecimiento orgánico no tiene forma de pico vertical.
  • Frases idénticas o casi idénticas entre distintos reseñadores. "¡Esta app cambió mi vida y funciona perfectamente!" apareciendo literalmente o parafraseada de forma idéntica en cinco cuentas en 48 horas es producto de una granja de copias.
  • Reseñadores sin otras reseñas ni foto de perfil. En Google Play, puedes tocar el nombre de un reseñador para ver su historial. Las cuentas con una sola reseña, sin avatar y con un nombre genérico suelen comprarse en granjas de reseñas.
  • Un número de estrellas desproporcionado respecto a las reseñas escritas. Una calificación de 4,9 estrellas con 80.000 reseñas pero solo 14 respuestas escritas visibles es una señal de alerta. La matemática no cuadra si usuarios reales estuvieran puntuando.
  • Reseñas que no describen las funciones reales de la app. Un gestor de contraseñas que recibe reseñas elogiando su "increíble calidad de video" o "hermosa interfaz para navegar" sugiere que fueron escritas por bots o reseñadores pagados que nunca usaron el producto.

El consejo contraintuitivo: una app de 4,2 estrellas con 1.800 reseñas detalladas y mixtas suele ser más confiable que una de 4,9 estrellas con 100.000 uniformemente sospechosas. Una puntuación más baja no siempre significa peor. A veces significa que personas reales dejaron opiniones honestas.

Info Herramientas como Fakespot (disponible como extensión de navegador) pueden analizar patrones de reseñas en algunas plataformas, aunque su cobertura en tiendas de apps móviles es limitada. Para comprobaciones manuales, ordenar las reseñas por "Más críticas" o puntuación más baja suele revelar las experiencias de usuario más sinceras — los usuarios reales insatisfechos escriben específicamente sobre qué salió mal.

Señales de alerta en tiendas de apps que probablemente estás pasando por alto

Más allá de los permisos y las reseñas, el propio listado contiene señales — si lo lees en lugar de absorberlo pasivamente.

Errores de ortografía y gramática en la descripción. Los desarrolladores legítimos — especialmente los de cualquier escala significativa — tienen a alguien que revisa el listado antes de publicarlo. Las descripciones torpes con frases awkward, sintaxis de traducción automática o sustantivos capitalizados al azar son un rasgo común de las apps construidas en operaciones de fraude de bajo coste.

La fecha de "Última actualización". Una app que dice ofrecer protección de seguridad en tiempo real, datos financieros en vivo o análisis activo de malware, pero que no se ha actualizado desde 2021, no cumple lo que promete. Las apps funcionales se actualizan. Comprueba la fecha y compárala con lo que la app dice hacer.

Desproporción entre número de descargas y número de reseñas. Si una app muestra 10 millones de descargas pero solo 800 reseñas, la proporción es inverosímil. Los usuarios reales que interactúan regularmente con una app tienden a dejar reseñas a una tasa orgánica consistente. Una brecha enorme generalmente indica números de descarga inflados, conteos de instalación artificiales por bots, o ambas cosas.

Calidad y accesibilidad de la política de privacidad. Toda app que recopila datos de usuarios está legalmente obligada bajo el RGPD (vigente desde mayo de 2018 en Europa) y la CCPA (vigente desde enero de 2020 en California) a publicar una política de privacidad. Un enlace a la política que no existe ya es una infracción. Pero una política que existe pero dice solo "podemos compartir tus datos con terceros no especificados para fines comerciales" es técnicamente conforme mientras que en la práctica no vale nada. Lee los dos primeros párrafos como mínimo — normalmente aprenderás lo que necesitas saber en ese tiempo.

Avisos de compras dentro de la app que aparecen solo después de instalar. Si una app aparece como "Gratis" pero inmediatamente pide una suscripción de 49,99 $/semana antes de que hayas usado una sola función, eso es un patrón oscuro — y en algunos casos, una estafa. Comprueba la línea "Compras dentro de la app" en el listado de la tienda antes de descargar.

Google Play vs. Apple App Store: ¿cuál es realmente más seguro?

La suposición por defecto es que App Store es inherentemente más seguro porque Apple revisa manualmente cada envío de app antes de que esté disponible. Esa creencia no es errónea — pero está significativamente incompleta.

Factor Google Play Apple App Store
Proceso de revisión de apps Automatizado + revisión humana posterior a la publicación Revisión humana y automatizada previa a la publicación
Instalación lateral Permitida con cambio en ajustes Restringida en iOS 17+ solo mediante notarización
Velocidad de eliminación de malware Más lenta en muchos casos documentados Generalmente más rápida tras el descubrimiento
Prevalencia de apps clonadas Mayor — menor barrera para publicar Menor, pero no inexistente
Divulgación de datos Sección "Seguridad de datos" declarada por el desarrollador "Etiquetas de nutrición de privacidad" autodeclaradas
Análisis en dispositivo Play Protect analiza ~125.000 millones de apps/día Sin escáner continuo equivalente en el dispositivo
Incidentes históricos notables Agent Smith (2019, ~25M dispositivos), Goldoson (2023, más de 60 apps infectadas) XcodeGhost (2015, más de 4.000 apps), GoldPickaxe (2024, iOS + Android)

La lectura contraria: los usuarios de iOS tienden a ser menos vigilantes al revisar apps precisamente porque confían en el proceso de revisión de Apple. Esa confianza mal depositada los convierte en un objetivo más blando para una categoría específica de ataque — apps que se comportan con normalidad durante semanas o meses tras el lanzamiento y luego reciben una actualización de configuración desde el servidor que activa comportamiento malicioso una vez superada la ventana de revisión inicial. Los revisores de Apple solo pueden evaluar lo que la app hace en el momento del envío.

Google Play Protect, por su parte, ejecuta análisis continuo en el dispositivo incluso después de que una app está instalada y aprobada. Ese monitoreo continuo es una diferencia arquitectónica significativa en la protección diaria, aunque la barrera inicial para publicar en Android sea demostrablemente más baja.

Ninguna plataforma es una garantía. Son reductores de velocidad, no muros.

alt text describing a split-screen view of Google Play and Apple App Store home screens

Lista de verificación previa a la instalación

Ejecuta esto antes de instalar cualquier app que manejará datos sensibles — banca, registros de salud, mensajería, contraseñas o cualquier cosa que requiera credenciales de inicio de sesión.

  1. Busca el nombre de la app más "malware" o "estafa" — treinta segundos de verificación previa que la mayoría de la gente omite por completo.
  2. Verifica que el nombre del desarrollador coincide con la organización que esperas, comprobado fuera de la tienda.
  3. Confirma que el desarrollador tiene otras apps publicadas y una cuenta de más de unas pocas semanas de antigüedad.
  4. Lee la lista de permisos antes de tocar descargar — en Android, esto es visible en el listado de la tienda bajo "Permisos de la app" sin instalar nada.
  5. Analiza las reseñas de 1 estrella buscando patrones relacionados con violaciones de privacidad, cargos inesperados o denuncias de robo de datos.
  6. Comprueba la fecha de "Última actualización" — cualquier cosa relacionada con seguridad que lleve 18+ meses sin actualizarse conlleva un riesgo elevado.
  7. Accede al enlace de la política de privacidad y lee el primer párrafo — comprueba que carga y que nombra socios de datos específicos.
  8. Examina la proporción descargas-reseñas — una app nueva con 5 millones de descargas y 150 reseñas casi con certeza tiene números inflados.
  9. Para apps financieras o de salud: empieza desde el sitio web oficial de la organización, no desde los resultados de búsqueda de la tienda.
  10. Tras instalar, revisa los permisos en los ajustes del sistema de tu dispositivo y revoca todo lo que no tenga una función clara — en Android, ve a Ajustes → Privacidad → Gestor de permisos; en iOS, Ajustes → Privacidad y seguridad.
Tip En Android, Ajustes → Privacidad → Gestor de permisos muestra cada app organizada por tipo de permiso. Puedes ver de un vistazo qué apps tienen acceso a la cámara o al micrófono y revocar permisos individuales sin desinstalar. Haz esta auditoría en tus apps actuales — en mi experiencia, la mayoría de las personas encuentra al menos una sorpresa.

Fuentes y lecturas adicionales

Kaspersky Threat Intelligence Portal — Publica informes trimestrales de amenazas móviles con recuentos de detecciones reales organizados por plataforma, geografía y familia de malware. La fuente principal para estadísticas actuales de volumen de malware en Android y datos de tendencias.

Google Play Store Transparency Report — Desglose anual de apps eliminadas de Google Play, razones de eliminación por categoría y estadísticas agregadas de análisis de Play Protect. Fuente primaria, directamente de Google.

Apple Platform Security Guide — La propia documentación de Apple sobre el proceso de revisión de App Store, requisitos de notarización y arquitectura de seguridad en el dispositivo. Útil para entender exactamente qué cubre la revisión de Apple en el momento del envío frente a en tiempo de ejecución.

FTC Consumer Information (consumer.ftc.gov) — Guía práctica sobre estafas de apps móviles, cargos de suscripción no autorizados y cómo denunciar apps fraudulentas. Escrita para consumidores generales, no para audiencias técnicas.

Zimperium Global Mobile Threat Report — Análisis anual del sector sobre amenazas específicas a móviles, tasas de phishing y tendencias de vulnerabilidades en iOS y Android. Publicado por una empresa de seguridad móvil, así que léelo teniendo en cuenta ese contexto comercial, pero los datos subyacentes están consistentemente bien citados.