Los celos son un lujo caro: cómo millones pagaron por espiar el móvil ajeno y se quedaron con las manos vacías
La curiosidad por desvelar un misterio le costó todos sus ahorros.
Millones de usuarios de Android pagaron por un servicio inexistente: acceso a llamadas y mensajes de otras personas. Aplicaciones distribuidas libremente a través de Google Play prometían mostrar el historial de llamadas, SMS e incluso llamadas de WhatsApp para cualquier número de teléfono; sin embargo, en lugar de datos reales, ofrecían información generada de forma aleatoria.
Los especialistas de ESET descubrieron en Google Play 28 aplicaciones fraudulentas que recibieron el nombre colectivo CallPhantom. En total fueron descargadas más de 7,3 millones de veces. El hallazgo se informó a Google, y todas las aplicaciones fueron eliminadas de la tienda.
El esquema funcionaba de forma sencilla: al principio se mostraba al usuario la llamada “información parcial”: números de teléfono ficticios, nombres y horarios de llamadas incrustados directamente en el código de la aplicación. Para ver el “historial completo” había que pagar. Tras el pago, por supuesto, nadie recibía datos reales. Algunas aplicaciones incluso pedían introducir la dirección de correo electrónico prometiendo enviar los resultados allí, también tras el pago.
Las aplicaciones estaban orientadas principalmente a usuarios de India y de la región Asia-Pacífico: la mayoría tenía por defecto el código indio +91, y entre los métodos de pago figuraba el sistema UPI. El precio de las suscripciones variaba aproximadamente desde 5 euros hasta 80 dólares EE. UU., según la tarifa.
Los métodos de recepción de pagos representaban un problema especial. Algunas aplicaciones utilizaban el sistema oficial de Google Play, lo que ofrecía a los usuarios alguna posibilidad de reembolso. Pero muchas aceptaban pagos a través de servicios externos o mediante formularios integrados para introducir los datos de la tarjeta bancaria. En esos casos Google no puede ayudar con la devolución: los afectados deben resolverlo directamente con el proveedor de pagos o con el desarrollador.
Algunas aplicaciones usaban trucos adicionales: si el usuario cerraba la aplicación sin pagar, en la pantalla aparecía una notificación sobre supuestos resultados recibidos; al pulsarla, la persona era dirigida directamente a la pantalla de suscripción.
El equipo de ESET remitió la información sobre estas aplicaciones a Google el 16 de diciembre de 2025. En el momento de la publicación del informe de ESET, todas ellas habían sido eliminadas y las suscripciones contratadas a través del sistema oficial de Google Play fueron canceladas automáticamente.
La curiosidad es una de las herramientas más fiables de los estafadores. Las aplicaciones que prometen acceso a llamadas o mensajes de otras personas no pueden, por definición, operar de forma legal, por lo que no deben ser de fiar — independientemente de lo convincente que parezca su página en la tienda.