Si tienes unteléfono inteligente Android, lo más probable es que el lugar al que vayas para descargar tus aplicaciones sea Google Play Store. Es la opción más segura y cómoda, y por lo general puedes confiar en Google Play Protect para garantizar que las aplicaciones que descargues sean seguras y no recopilen tus datos ni se apoderen de tu teléfono inteligente. Sin embargo, esa no es la situación completa.

Si ha seguido Android durante mucho tiempo, probablemente haya leído los informes que aparecen cada pocos meses sobre cómo se detectó que un par de aplicaciones muy descargadas albergaban malware. Si bien no suelen ser las aplicaciones más populares las que logran introducir malware de forma privada en su teléfono inteligente, es un problema lo suficientemente grave como para que los usuarios tengan cuidado al descargar aplicaciones que no sean muy populares.

Recientemente, un informe de la empresa rusa de ciberseguridadKaspersky'sSecure Listdetallaba cuánto cuesta que distintos tipos de malware funcionen en Play Store. Por ejemplo, cuesta entre 2.000 y 20.000 dólares pagar por un "cargador" que inyecta código malicioso en una aplicación ya existente sin pasar por Google Play Protect. Estas aplicaciones suelen estar disponibles en Google Play Store con 5.000 descargas o más y no suponen ninguna amenaza hasta una futura actualización. Así que, aunque Google promete seguridad, hay que tener cuidado incluso cuando se utiliza la tienda de aplicaciones oficial de Android.

La creación de malware para Google Play Store es una industria rentable

Teniendo en cuenta la cantidad de dinero que se puede ganar con el malware que se distribuye en Google Play Store, no es de extrañar que haya muchos que intenten engañar al sistema. Play Protect tiene sus límites y parece ser que Play Protect es mucho mejor a la hora de reconocer ataquesconocidosque nuevos. Como señalaSecure List, muchos de estos atacantes anuncian específicamente que pueden eludir Google Play Protect.

El mayor problema es que ninguna aplicación es realmente segura. Técnicamente, cualquier aplicación puede ser comprada por alguien que quiera cargar en ella su propio código malicioso. En ese momento, el desarrollador enviará una actualización a los usuarios finales que la instalarán sin saberlo y comprometerán su propia seguridad. Es probable que así sea como las aplicaciones importantes con más de un millón de descargas no sean detectadas; no eran maliciosas a medida que crecían.

Eso significa que existe una falla fundamental en Google Play Store que los actores maliciosos pueden aprovechar para comprar una aplicación que ya está en auge y distribuir malware. Google confía mucho en Play Protect para ayudar a los usuarios y, si bien parece hacer un buen trabajo, el hecho de que los atacantes puedan vender productos que lo eluden como mecanismo de seguridad demuestra que no es tan poderoso como puede parecer desde afuera.

La mejor defensa es limitar las aplicaciones que instalas

Dado que cualquier aplicación puede ser un vector de ataque potencial, la mejor (y única) defensa en la que realmente puedes confiar es no instalar demasiadas aplicaciones. Cuantas menos aplicaciones tengas instaladas, menos probabilidades habrá de que una de ellas se actualice con código malicioso. Por si sirve de algo, la mayoría de las aplicaciones que se actualizan requerirán permisos adicionales para volverse maliciosas y, como señalaSecure List, algunas de ellas pueden incluso intentar que instales otra aplicación para conceder esos permisos adicionales. Esto significa que son fáciles de detectar, pero de todos modos debes estar atento.

Aún más importante es instalar aplicaciones de desarrolladores en los que puedas confiar. Los desarrolladores más pequeños y menos conocidos tienen más probabilidades de querer vender sus aplicaciones a posibles atacantes, mientras que los desarrolladores establecidos serán más confiables. Eso no quiere decir que no pueda suceder lo contrario, pero es un juego de probabilidades y hay pocas medidas que puedas tomar que sean formas infalibles de protegerte.

También puedes limitar lostiposde aplicaciones que instalas.Secure Listseñala que los "rastreadores de criptomonedas, las aplicaciones financieras, los escáneres de códigos QR e incluso las aplicaciones de citas" son los infractores más flagrantes. La mayoría de los teléfonos tienen un escáner de códigos QR integrado en la cámara y, si el tuyo no lo tiene, Google Lens (que viene preinstalado) admite el escaneo de códigos QR. En cuanto a los rastreadores de criptomonedas, existen muchas alternativas basadas en la web que no requieren una aplicación.

Sin embargo, trasladar la diligencia al usuario tiene sus límites, y está claro que Google necesita tomar medidas adicionales para proteger a los usuarios. Las actualizaciones anuales de Android, comoAndroid 14,suelen incluir actualizaciones de seguridad. La versión reciente, en concreto, exige que las aplicaciones utilicen niveles de API modernos para que no puedan aprovechar las lagunas que afectan a las anteriores. Sin embargo, Google Play Protect va a ser una parte fundamental de la defensa porque no todos los teléfonos se actualizan a la última versión de Android. Si el tuyo puede, mantenlo siempre actualizado.