La idea de poder cotillear el historial de llamadas, SMS o registros de WhatsApp de otra persona sigue siendo un gancho poderoso en plena era de la hiperconectividad. En los últimos meses, esa curiosidad mal entendida ha alimentado una de las operaciones de fraude digital más llamativas detectadas en Google Play, con millones de usuarios pagando por un servicio que, en realidad, nunca existió.
Investigadores de la firma de ciberseguridad ESET han destapado una red de 28 aplicaciones fraudulentas, agrupadas bajo el nombre CallPhantom, que llegaron a acumular más de 7,3 millones de descargas en la tienda oficial de Android. Todas prometían lo mismo: acceder por arte de magia a información privada de cualquier número de teléfono a cambio de una suscripción de pago.
Qué prometían estas apps: espiar WhatsApp y llamadas de cualquier número
El gancho era directo y, para muchos, irresistible: introduce el número de tu pareja, de un amigo o de un familiar y obtén su historial de llamadas, SMS y supuestos registros de WhatsApp. Las apps se presentaban como herramientas capaces de mostrar quién llamaba a quién, durante cuánto tiempo, e incluso la actividad de mensajería asociada a ese número.
En la práctica, el proceso era siempre similar. El usuario instalaba la aplicación, escribía el número objetivo y se le invitaba a contratar una suscripción semanal, mensual o anual, con precios que iban desde unos 5 euros hasta cerca de 80 dólares según el plan seleccionado. Solo después del pago se desbloqueaba el supuesto informe detallado.
Algunas variantes iban un paso más allá y pedían también el correo electrónico del comprador, prometiendo enviar los registros por email. En otros casos, la app mostraba en pantalla una vista previa del “informe” para apremiar al usuario a finalizar el pago, insinuando que la información ya estaba lista y solo faltaba abonar la cuota.
La clave del engaño es que ninguna de estas aplicaciones tenía capacidad técnica o legal para acceder a datos reales. No solicitaban permisos especiales en Android, no intervenían comunicaciones, no leían bases de datos de WhatsApp ni tocaban el historial de llamadas del teléfono objetivo. Todo lo que mostraban era pura ficción.
Cómo funcionaba realmente la estafa: datos inventados y pagos difíciles de reclamar
Según el análisis de ESET, el mecanismo interno de estas apps era relativamente sencillo: generaban de manera aleatoria nombres, números de teléfono, horarios y duraciones de supuestas llamadas. El resultado se presentaba como si se tratase de un listado auténtico de registros, lo suficientemente verosímil como para engañar a quien ya había pagado.
En algunos casos, la aplicación mostraba directamente en pantalla una tabla con contactos inventados. En otros, simulaba un sistema de consulta remota que tardaba unos segundos en “recopilar” los datos antes de entregarlos. Todo estaba programado de antemano: no había conexión con ninguna base de datos real ni con servidores de operadores móviles.
Para dar más apariencia de profesionalidad, determinadas apps de CallPhantom enviaban notificaciones falsas que imitaban correos electrónicos con los supuestos informes adjuntos. El usuario veía avisos del estilo “tu historial está listo” o “tienes nuevos registros para revisar” y, al abrir la notificación, era reconducido a una pantalla de pago o renovación de suscripción.
Otro elemento clave del fraude fueron los métodos de cobro. Muchas aplicaciones aceptaban pagos a través de UPI y otros sistemas muy populares en India y la región Asia-Pacífico, además de tarjetas bancarias y enlaces de pago de terceros. Varias evitaban usar exclusivamente el sistema oficial de facturación de Google Play, lo que complicaba los reembolsos y dejaba a las víctimas prácticamente sin protección.
Cuando el pago sí se realizaba por la vía oficial de Google Play, los usuarios podían acudir a la sección de «Pagos y suscripciones» de la tienda para cancelar y pedir la devolución. Sin embargo, en los casos en los que la transacción se efectuaba directamente con un proveedor externo, recuperar el dinero dependía de contactar con el desarrollador o con el servicio de pagos, con muy pocas garantías de éxito.
Un fraude global con foco en India y Asia-Pacífico, pero visible desde cualquier país
Aunque la mayor parte de las víctimas se concentró en India y otros mercados del área Asia-Pacífico, las aplicaciones estaban disponibles para cualquier usuario de Android con acceso a Google Play. Muchas utilizaban por defecto el prefijo internacional +91 y textos orientados al público indio, pero nada impedía que personas de Europa o España las descargasen movidas por la curiosidad.
La operación CallPhantom fue especialmente hábil a la hora de burlar los controles automáticos de Google. La mayoría de las apps no pedía permisos intrusivos como acceso a SMS, micrófono o almacenamiento, lo que reducía las señales clásicas asociadas al malware. Desde el punto de vista del sistema, eran aplicaciones relativamente “inocuas” que simplemente mostraban información en pantalla tras un pago.
Sin embargo, el impacto económico y reputacional fue considerable. Según los datos publicados, las 28 aplicaciones juntas superaron los 7,3 millones de descargas antes de ser eliminadas. Teniendo en cuenta las distintas modalidades de suscripción y los precios aplicados, el volumen de dinero recaudado asciende a cifras muy elevadas, difíciles de calcular con exactitud por la dispersión de métodos de pago.
Tras las advertencias de ESET, la App Defense Alliance y otros grupos de análisis, Google retiró todas las apps relacionadas con CallPhantom y procedió a cancelar automáticamente las suscripciones activas gestionadas a través de su plataforma de facturación. No obstante, para entonces muchos usuarios ya habían perdido sus cuotas, especialmente quienes habían pagado por vías externas.
Este episodio vuelve a abrir el debate sobre la responsabilidad compartida entre plataformas, desarrolladores y usuarios. Las tiendas de aplicaciones deben mejorar sus filtros y mecanismos de revisión, pero también es cierto que una parte del éxito del fraude se explica por el interés de muchas personas en acceder a contenidos que, a todas luces, vulneran la privacidad de terceros.
Ingeniería social, reseñas falsas y curiosidad: las armas de los estafadores
Más que un prodigio de programación, CallPhantom fue un gran ejemplo de ingeniería social aplicada al móvil. Los criminales entendieron muy bien qué botones emocionales pulsar: celos, desconfianza, morbo y la promesa de soluciones rápidas a problemas personales complejos.
Las campañas se apoyaron en publicidad agresiva en redes sociales y foros, donde se promocionaban las apps como herramientas discretas para “saber con quién habla tu pareja” o “vigilar las llamadas de tus hijos”. Este tipo de mensajes, por muy cuestionables que sean desde el punto de vista ético, siguen generando mucho interés y clics.
Dentro de Google Play, las aplicaciones consiguieron buen posicionamiento gracias a reseñas positivas infladas artificialmente. Comentarios entusiastas, muchas veces genéricos o repetitivos, daban la impresión de que el servicio funcionaba de maravilla, pese a que también había valoraciones negativas advirtiendo del engaño.
Esta mezcla de puntuaciones contradictorias jugaba a favor de los estafadores: las opiniones críticas podían interpretarse como casos puntuales o malentendidos, mientras que el volumen de valoraciones favorables servía como aparente aval de confianza. Para un usuario sin demasiada experiencia digital, la sensación de “si tiene tantas estrellas será por algo” resultaba convincente.
Al final, el éxito de la campaña demuestra que no hace falta un malware hipercomplejo; basta con una buena historia de marketing y una audiencia dispuesta a mirar hacia otro lado en cuestiones de privacidad. La curiosidad y el desconocimiento siguen siendo una combinación peligrosa en Internet.
Qué hacer si has caído en la trampa y cómo protegerte en el futuro
Para quienes se hayan suscrito a alguna de estas aplicaciones o a servicios similares desde España o cualquier país europeo, el primer paso es revisar los pagos recientes y cancelar cualquier suscripción activa. Si el cobro se hizo a través de Google Play, se puede solicitar el reembolso desde el propio historial de compras de la cuenta de Google.
En caso de que el pago se realizara mediante plataformas externas, conviene contactar con la entidad bancaria o el proveedor de pagos lo antes posible para intentar bloquear futuras renovaciones y, si procede, abrir una reclamación. No siempre será posible recuperar el dinero, pero al menos se pueden limitar los daños.
Aunque en el caso de CallPhantom no se han detectado comportamientos típicos de spyware avanzado, los expertos recomiendan, por prudencia, desinstalar de inmediato cualquier app que prometa espiar a terceros, pasar un análisis de seguridad con herramientas fiables y, si existen dudas, incluso restablecer el teléfono a estado de fábrica tras hacer copia de seguridad.
De cara al futuro, hay varias pautas básicas para reducir el riesgo de volver a caer en algo parecido:
- Desconfiar de cualquier aplicación que ofrezca acceso a información privada de otra persona, ya sean llamadas, mensajes o ubicaciones.
- Instalar solo apps de desarrolladores reconocidos y con políticas de privacidad claras.
- Revisar con calma las reseñas, prestando atención a comentarios extensos y detallados de usuarios reales, no solo a la puntuación media.
- Comprobar los permisos que solicita la aplicación y preguntarse si realmente tienen sentido para la función que promete.
- Utilizar siempre métodos de pago oficiales e integrados en Google Play, evitando introducir datos bancarios en webs o formularios dudosos.
- Ante cualquier servicio que ofrezca algo ilegal o poco realista, asumir que lo más probable es que sea una estafa.
El caso CallPhantom sirve como recordatorio de que ninguna aplicación puede proporcionar acceso legal al historial de WhatsApp o a las llamadas de otra persona sin su consentimiento. Quien asegura lo contrario, en la práctica, solo busca aprovecharse económicamente de los usuarios, explotando sus inseguridades y su falta de información.
Todo este episodio deja una lección clara: perseguir atajos para vulnerar la intimidad ajena suele salir caro. En un entorno donde las estafas móviles son cada vez más sofisticadas y las tiendas de aplicaciones no siempre detectan a tiempo a los impostores, la prudencia y la educación digital se convierten en la mejor defensa. Frente a promesas espectaculares de «espiar WhatsApp» desde una simple app, lo más sensato es dar un paso atrás, aplicar el sentido común y recordar que, en Internet, cuando algo suena demasiado bueno para ser verdad, lo normal es que el negocio seas tú.
