La promesa de acceder a las llamadas telefónicas o a las conversaciones privadas de otra persona puede resultar tentadora para algunos usuarios. Precisamente esa curiosidad fue aprovechada por una sofisticada campaña de fraude digital que logró engañar a millones de personas en todo el mundo mediante aplicaciones distribuidas a través de Google Play.
La operación, identificada por investigadores de la empresa de ciberseguridad ESET bajo el nombre de CallPhantom, consistía en una red de 28 aplicaciones fraudulentas que aseguraban ofrecer acceso a llamadas, mensajes y supuestas conversaciones de WhatsApp de terceros. Sin embargo, detrás de estas promesas no existía ninguna tecnología capaz de realizar semejante tarea. Lo único real eran los pagos que terminaban realizando las víctimas.
Según el análisis de ESET, las aplicaciones acumularon más de 7,3 millones de descargas antes de ser retiradas de la tienda oficial de Google. Durante ese tiempo, miles de usuarios pagaron suscripciones que podían alcanzar hasta los 80 dólares anuales con la esperanza de obtener información privada de otras personas.
El funcionamiento del fraude estaba diseñado para parecer convincente. Una vez instalada la aplicación, el usuario debía ingresar el número telefónico de la persona cuya actividad quería consultar. A continuación, aparecían animaciones, barras de progreso y mensajes que simulaban un complejo proceso de análisis de datos.
Tras varios segundos de espera, la aplicación informaba que había encontrado llamadas, nombres de contactos y conversaciones asociadas al número ingresado. Sin embargo, para visualizar esos supuestos resultados era necesario contratar una suscripción o realizar un pago adicional.
La investigación reveló que toda la información mostrada era completamente ficticia. Los desarrolladores utilizaban bases de datos internas con números predefinidos, nombres genéricos y marcas de tiempo generadas aleatoriamente para crear la ilusión de que estaban accediendo a información auténtica.
Los especialistas de ESET concluyeron que ninguna de las aplicaciones tenía capacidad técnica para acceder a llamadas telefónicas, mensajes privados o conversaciones de WhatsApp de terceros. Los resultados eran fabricados exclusivamente para convencer a las víctimas de que pagaran por un servicio inexistente.
Parte del éxito de la estafa se debió a las estrategias utilizadas para generar confianza. Algunas aplicaciones incluían reseñas falsas y valoraciones aparentemente positivas que buscaban transmitir legitimidad. Otras incluso empleaban nombres que sugerían vínculos con organismos gubernamentales o instituciones oficiales.
Los investigadores detectaron casos en los que los desarrolladores utilizaron denominaciones como “Indian gov.in”, una táctica destinada a aprovechar la credibilidad asociada a entidades públicas.
Además, las aplicaciones ejercían presión psicológica sobre los usuarios. Si una persona intentaba cerrar la aplicación sin realizar el pago, recibía notificaciones insistentes que aseguraban que los resultados ya estaban disponibles y que solo faltaba desbloquearlos mediante una suscripción.
Las modalidades de cobro variaban considerablemente. Algunos servicios ofrecían planes básicos relativamente económicos, mientras que otros exigían pagos mucho más elevados. En ciertos casos, los usuarios eran dirigidos al sistema oficial de pagos de Google Play, pero en otros se les solicitaba ingresar directamente los datos de sus tarjetas bancarias en formularios externos.
Esta práctica representaba un riesgo adicional, ya que quienes compartían la información de sus tarjetas quedaban expuestos a posibles cargos no autorizados o al uso indebido de sus datos financieros.
Ante esta situación, ESET recomienda que cualquier persona que haya descargado alguna de estas aplicaciones revise de inmediato sus suscripciones activas dentro de Google Play y cancele cualquier servicio relacionado. Asimismo, quienes hayan proporcionado datos bancarios directamente a estas plataformas deberían contactar a su entidad financiera para bloquear la tarjeta y supervisar posibles movimientos sospechosos.
El caso también pone de relieve una realidad importante en materia de seguridad digital: las aplicaciones legítimas no pueden acceder a las comunicaciones privadas de otras personas sin su consentimiento y sin acceso físico al dispositivo.
Las restricciones de seguridad implementadas por sistemas operativos como Android y por servicios de mensajería como WhatsApp impiden que una aplicación convencional pueda obtener conversaciones, llamadas o mensajes de terceros de forma remota.
Por ello, los expertos advierten que cualquier herramienta que afirme ofrecer este tipo de acceso debe considerarse inmediatamente una señal de alerta. Las promesas de espionaje telefónico, monitoreo secreto de WhatsApp o acceso a mensajes privados suelen formar parte de esquemas fraudulentos diseñados para obtener dinero o información financiera de los usuarios.
La operación CallPhantom demuestra que la curiosidad puede convertirse en una vulnerabilidad explotada por los ciberdelincuentes. En muchos casos, quienes creían estar obteniendo acceso a la privacidad de otras personas terminaron siendo las verdaderas víctimas de una estafa cuidadosamente diseñada.
La mejor protección continúa siendo la prevención: desconfiar de ofertas demasiado buenas para ser ciertas, revisar los permisos solicitados por las aplicaciones y recordar que ningún servicio legítimo puede vulnerar la privacidad de terceros con solo introducir un número telefónico.
Más que una muestra de cariño: los sorprendentes beneficios de los abrazos para la salud física y mental
¿Helado hecho con sargazo? Científicos buscan convertir la invasión de algas en una fuente de alimentos
¿Windows 11 es gratis? Lo que realmente debes saber antes de actualizar tu computadora