Código malicioso que vacía cuentas: Alerta técnica urgente

En los últimos meses se ha detectado una nueva amenaza: el malware bancario Android, que representa un riesgo real para los usuarios de banca móvil. Un código malicioso que vacía cuentas está circulando con una agresividad que no veíamos desde hace meses y no, no se trata del típico SMS mal redactado que tu operador filtra automáticamente. Estamos ante una pieza de ingeniería de software diseñada para operar en silencio, alojarse en las capas profundas del sistema operativo y esperar el momento exacto. Google Play Protect trabaja horas extra, los bancos actualizan sus parches de seguridad, pero el eslabón más débil sigue siendo el dedo del usuario que pulsa «Aceptar» sin leer.

La narrativa de seguridad en 2026 ha cambiado. Ya no hablamos de virus que rompen el teléfono o llenan la pantalla de publicidad de casinos. Eso era molesto, pero visible. Lo de ahora es invisible.

Los atacantes han perfeccionado el uso de los Servicios de Accesibilidad de Android. Esta función, creada legítimamente para ayudar a personas con dificultades motoras o visuales a interactuar con la pantalla, se ha convertido en la llave maestra para los ciberdelincuentes. Una vez que concedes este permiso a una aplicación infectada —que suele disfrazarse de lector de PDF, limpiador de caché o escáner QR—, le estás dando al atacante el control total del dispositivo. Pueden tocar botones por ti, leer lo que escribes y, lo más peligroso, ver lo que tú ves.

El arte del engaño visual

El funcionamiento técnico es fascinante y aterrador a partes iguales. El malware se queda latente. No consume batería excesiva al inicio, no calienta el procesador. Simplemente escucha. Monitorea el nombre de los paquetes de aplicaciones que abres. En el instante preciso en que tocas el ícono de tu banco, el código malicioso lanza una «inyección de superposición» (overlay attack).

Lo que ves en pantalla parece la página de inicio de tu banco. Tiene el logo correcto, los colores corporativos perfectos y las casillas de usuario y contraseña donde siempre están. Pero no es la app real. Es una capa transparente de HTML dibujada sobre la aplicación legítima. Cuando tecleas tus credenciales, no estás iniciando sesión; estás enviando texto plano a un servidor remoto, probablemente operado desde Europa del Este o Brasil.

Según un análisis técnico reciente publicado por BleepingComputer, estas nuevas variantes han optimizado su código para evadir la detección conductual. Antes, si escribías muy rápido o de forma robótica, los sistemas antifraude del banco sospechaban. Ahora, el malware replica la cadencia de escritura humana al retransmitir los datos. Es un nivel de sofisticación que deja obsoletos a muchos antivirus convencionales.

¿Qué pasa con la autenticación en dos pasos?

Aquí es donde la situación se pone crítica. Muchos usuarios creen que el SMS de confirmación o el código 2FA los protege. Falso. Si el malware tiene permisos de accesibilidad y lectura de notificaciones, puede leer el código que te llega por mensaje antes de que tú siquiera veas la notificación emergente. Lo captura, lo envía al atacante y, en muchos casos, borra el SMS para que no te enteres de que llegó. Todo ocurre en milisegundos. Tú sigues esperando un mensaje que nunca verás, mientras tu cuenta empieza a transferir fondos.

Cuesta ignorar que el problema raíz no es solo el código, sino la distribución. Google libra una guerra constante contra estas aplicaciones, eliminando miles cada semana. Sin embargo, los desarrolladores de este software espía bancario (aquí la variante de la keyword) son rápidos. Utilizan «droppers». Suben a la tienda una app totalmente limpia, funcional y segura. Pasa todos los filtros de Google. Una vez instalada en miles de teléfonos, la app manda una notificación: «Se requiere una actualización para continuar». Esa actualización no viene de la Play Store, se descarga de un servidor externo y es ahí donde entra la carga viral.

Los permisos que nunca debes aceptar

Hay una regla de oro técnica que a veces olvidamos por comodidad. Si una aplicación de linterna te pide acceso a tus contactos, algo huele mal. Si una calculadora pide acceso a los Servicios de Accesibilidad, bórrala de inmediato. No hay justificación lógica en el desarrollo de software honesto para pedir permisos tan elevados en herramientas tan básicas.

El sistema operativo Android ha intentado poner trabas. En las versiones más recientes, activar la accesibilidad para una app instalada fuera de la tienda (sideloading) requiere varios pasos de confirmación. Google te pregunta dos o tres veces si estás seguro. Y aún así, la gente acepta. La ingeniería social es más fuerte que cualquier barrera de código. Los atacantes crean tutoriales falsos dentro de la app, guiando al usuario paso a paso para desactivar su propia seguridad bajo la promesa de «activar funciones premium» o «acelerar el dispositivo».

La evolución hacia el fraude automatizado

Lo que vemos en los foros de ciberseguridad y en los análisis de tendencias es un cambio hacia la automatización. Ya no hay un hacker detrás de una pantalla esperando a que caigas. Son bots. Sistemas automatizados que recolectan credenciales las 24 horas del día. Cuando logran acceso, scripts automáticos inician las transferencias. Cuando te das cuenta y llamas al banco, el dinero ya ha saltado por tres cuentas puente y se ha convertido en criptomonedas.

TechCrunch reportaba recientemente cómo el uso de modelos de lenguaje (LLM) está permitiendo a estos grupos criminales reescribir su código constantemente para cambiar su «firma digital», haciendo casi imposible que las bases de datos de virus tradicionales los reconozcan a tiempo. Es un juego del gato y el ratón donde el ratón ha empezado a usar esteroides.

A veces pensamos que esto solo le pasa a gente mayor o a personas poco tecnológicas. Error. Los perfiles técnicos también caen. ¿Cuántas veces has instalado una APK modificada para tener Spotify gratis o un juego sin anuncios? Ese es el vector de entrada favorito para las campañas dirigidas a usuarios jóvenes. Creen que están engañando al sistema para ahorrarse unos dólares, y terminan pagando el precio completo con sus datos bancarios.

La realidad es incómoda. Los sistemas operativos móviles son cada vez más seguros, pero la fatiga del usuario juega en contra. Nos hemos acostumbrado tanto a dar «Aceptar» a todo para que la ventana desaparezca, que hemos desactivado nuestro propio sentido común. Ninguna actualización de firmware va a parchear la impaciencia humana.

Si notas que tu batería dura la mitad de lo normal, que aparecen íconos que no recuerdas o que tu teclado tarda en aparecer, no asumas que es «lag» o que el teléfono está viejo. Podría ser un proceso en segundo plano enviando todo lo que haces a un tercero. Restaurar de fábrica es molesto, perder la configuración de tus apps duele, pero ver tu saldo bancario en cero es una experiencia que te cambia la perspectiva sobre la privacidad digital para siempre. La seguridad en 2026 ya no es un antivirus instalado, es desconfianza activa.