El stalkerware no es un virus al uso. Es software instalado deliberadamente por alguien con acceso físico al dispositivo, normalmente en contextos de violencia de género, control en relaciones de pareja o vigilancia familiar. A diferencia del malware convencional, no llega a través de un enlace malicioso ni de una descarga accidental: requiere que alguien haya tenido el teléfono en las manos durante unos minutos. Detectarlo es más difícil precisamente porque su diseño busca ser invisible para la víctima y visible solo para quien lo instaló.
Las señales son sutiles pero reconocibles si sabes qué buscar. Esta guía cubre los indicadores más comunes, las herramientas de detección disponibles y los pasos para eliminarlo sin alertar a quien lo instaló si esa es la prioridad en la situación concreta.
Señales de que tu teléfono puede estar comprometido
Ninguna de estas señales es conclusiva por sí sola, pero la combinación de varias aumenta significativamente la probabilidad:
Batería que se agota más rápido de lo normal. El stalkerware transmite datos de forma continua: ubicación, capturas de pantalla, registros de llamadas. Esa transmisión consume batería en segundo plano aunque el teléfono esté aparentemente inactivo.
Calor inusual en reposo. Un teléfono que se calienta sin estar en uso activo está ejecutando procesos en segundo plano. Si coincide con la degradación de batería, es una señal adicional.
Consumo de datos móviles inexplicable. Revisa el uso de datos en Ajustes. Si hay apps con consumo elevado que no reconoces o cuyo uso no justifica ese consumo, merece investigación.
El teléfono tarda más en apagarse o reiniciarse. Algunos stalkerware toman medidas para impedir o retrasar el apagado mientras intentan transmitir datos pendientes.
Apps desconocidas con permisos amplios. Revisando permisos (el proceso está detallado en nuestra guía de auditoría de permisos en Android e iOS), pueden aparecer apps con nombres genéricos o disfrazadas de utilidades del sistema que tienen acceso a micrófono, cámara, ubicación y contactos.
Comportamiento extraño en llamadas. Ruidos de fondo, eco o clics durante las llamadas pueden indicar interceptación, aunque también pueden ser problemas de red.
Cómo buscarlo en Android
Android es el sistema más vulnerable al stalkerware por la posibilidad de instalar apps fuera de la Play Store. El primer paso es comprobar si está habilitada la opción de instalar apps de fuentes desconocidas en Ajustes > Aplicaciones > Acceso especial. Si está habilitada y no la habilitaste tú, alguien más lo hizo.
La herramienta más completa para Android es Certo Mobile Security, que escanea el dispositivo buscando patrones conocidos de stalkerware. También vale iVerify para usuarios más técnicos. Ambas son gratuitas en su versión básica.
Manualmente, revisa en Ajustes > Aplicaciones todas las apps instaladas. El stalkerware suele ocultarse con nombres que imitan utilidades del sistema: "Sincronización de sistema", "Servicio de actualización", "Administrador de red". Busca apps que:
- No recuerdas haber instalado.
- No aparecen en el cajón de aplicaciones pero sí en la lista de apps instaladas.
- Tienen permisos muy amplios sin justificación.
- No tienen reseñas en la Play Store o directamente no están en la Play Store.
Otro vector: Google Play Protect puede estar deshabilitado. Ve a Play Store > Perfil > Play Protect y verifica que está activo. Deshabilitarlo es uno de los primeros pasos que dan quienes instalan stalkerware.
Cómo buscarlo en iOS
iOS es más restrictivo por diseño. La instalación de stalkerware requiere que el dispositivo esté en jailbreak o que el atacante use un perfil MDM (Mobile Device Management) para instalar software de supervisión. Comprueba dos cosas:
En Ajustes > General > VPN y gestión de dispositivos: si hay un perfil instalado que no reconoces (que no sea el de tu empresa o colegio si usas un dispositivo corporativo), es una señal de alerta grave. Esos perfiles pueden dar acceso completo al dispositivo.
Busca la app Cydia en el dispositivo. Es la tienda de apps alternativa que aparece cuando un iPhone ha pasado por jailbreak. Si está ahí, el dispositivo está comprometido a nivel más profundo.
La herramienta iMazing en un ordenador puede hacer un análisis más completo del iPhone buscando indicadores de compromiso.
Qué hacer si encuentras algo
La respuesta correcta depende del contexto, y este es el punto donde hay que ser más cuidadoso:
Si la situación implica seguridad personal, borrar el stalkerware de inmediato puede alertar a quien lo instaló y escalar la situación. En ese caso, la prioridad es buscar apoyo primero. En España, el 016 es la línea de atención a víctimas de violencia de género, disponible las 24 horas. La Guardia Civil y la Policía Nacional tienen unidades especializadas en ciberviolencia.
Si la situación no implica riesgo inmediato (por ejemplo, en un contexto de control parental excesivo o sospecha de vigilancia sin violencia activa), el proceso es:
- Documenta las evidencias antes de eliminar nada: capturas de pantalla de las apps sospechosas, del consumo de datos, de los permisos.
- Desinstala las apps identificadas como stalkerware.
- Revoca los perfiles MDM instalados sin tu consentimiento en iOS.
- Cambia todas las contraseñas desde un dispositivo diferente, no desde el que puede estar comprometido.
- Activa la autenticación en dos pasos en todas las cuentas críticas.
En muchos casos, el restablecimiento de fábrica es la opción más limpia. No garantiza la eliminación de todo si el dispositivo está en jailbreak con modificaciones profundas, pero elimina el 99% de las amenazas convencionales. El problema es que también borra todo lo demás, así que solo tiene sentido después de hacer una copia de seguridad en un entorno que no esté comprometido.
Cómo protegerte de forma preventiva
Más allá de la detección reactiva, hay hábitos que dificultan significativamente la instalación de stalkerware en primer lugar:
Activa el PIN o contraseña de pantalla de bloqueo y no lo compartas con nadie, incluyendo personas de confianza. La instalación de stalkerware requiere acceso físico al dispositivo desbloqueado durante varios minutos. Un bloqueo de pantalla activo no es garantía absoluta, pero elimina la ventana de oportunidad de la mayoría de los escenarios.
Revisa el historial de acceso a tu cuenta de Google o Apple ID. Ambas plataformas muestran en los ajustes de la cuenta los dispositivos que han accedido recientemente y cuándo. Si aparece un acceso desde un dispositivo o una ubicación que no reconoces, es una señal de que alguien tiene acceso a tus credenciales.
Activa la autenticación en dos pasos en todas las cuentas críticas. Muchos tipos de stalkerware no instalan software en el dispositivo sino que simplemente acceden a las cuentas de iCloud o Google de la víctima con credenciales obtenidas de otra forma. Eso les da acceso a las copias de seguridad, la ubicación y los mensajes sin necesitar tocar físicamente el teléfono.
Revisa los dispositivos vinculados a tus cuentas. Tanto Google como Apple permiten ver qué dispositivos tienen la sesión iniciada en tus cuentas. Si aparece un dispositivo que no reconoces, cierra la sesión remotamente y cambia la contraseña.
El stalkerware es uno de los vectores de ataque más infradiagnosticados precisamente porque las víctimas no siempre reconocen las señales o no saben que tienen herramientas para detectarlo. La tecnología para vigilar a alguien sin su conocimiento lleva años siendo accesible y barata; las herramientas para detectarlo siguen siendo menos conocidas de lo que deberían.
0 Comentarios