- Al menos 28 apps fraudulentas en Google Play, agrupadas bajo el nombre CallPhantom, engañaron a más de 7,3 millones de usuarios.
- Las aplicaciones prometían espiar llamadas, SMS y registros de WhatsApp, pero solo generaban datos falsos tras el pago.
- El fraude se apoyó en suscripciones de pago, métodos externos de cobro, reseñas manipuladas y campañas en redes sociales.
- Expertos en ciberseguridad recomiendan extremar la prudencia con apps que ofrezcan acceso a datos privados o servicios de espionaje.
La aparición de varias aplicaciones en Google Play que aseguraban permitir espiar llamadas, SMS y supuestos registros de WhatsApp de cualquier número ha destapado una de las estafas móviles más llamativas de los últimos tiempos. Bajo una oferta tan polémica como seductora, estas apps consiguieron colarse en la tienda oficial de Android y convencer a millones de personas de que podían acceder a información privada de terceros a cambio de una suscripción.
Detrás de esta trama se encontraba una red de al menos 28 aplicaciones fraudulentas, conocidas bajo el paraguas CallPhantom, que según la firma de ciberseguridad ESET lograron superar los 7,3 millones de descargas. Aunque el impacto fue especialmente fuerte en India y otros países del área Asia-Pacífico, el engaño alcanzó a usuarios de todo el mundo, incluyendo Europa, gracias a su presencia en la tienda oficial de Google.
Qué prometían las apps: espiar WhatsApp, llamadas y SMS de cualquier número
La clave del éxito de estas aplicaciones fue una promesa tan arriesgada como poco creíble: acceder a historiales de llamadas, mensajes SMS y supuestos registros de WhatsApp de cualquier número, sin necesidad de tener acceso físico al móvil objetivo. El mecanismo era siempre parecido: el usuario introducía el número que quería “investigar” y, antes o después, se le pedía un pago para desbloquear la información.
El reclamo se apoyaba en la curiosidad y, en muchos casos, en el deseo de controlar o espiar a terceras personas. Bajo la apariencia de una herramienta avanzada, estas apps aseguraban ofrecer listados detallados con nombres de contactos, fechas, horarios y duraciones de llamadas o mensajes. Sin embargo, todo ese supuesto historial era una completa invención, generada automáticamente por el propio software para dar la sensación de verosimilitud.
Los investigadores de ESET explican que los datos mostrados por estas aplicaciones se creaban mediante algoritmos que combinaban nombres ficticios, números genéricos y horarios fabricados. No había acceso real a los registros del teléfono ni a las comunicaciones de WhatsApp, algo que además de ser técnicamente inviable en esas condiciones, vulneraría frontalmente la legislación sobre privacidad en la mayoría de países europeos.
Para reforzar la ilusión de legitimidad, algunas apps incluso aseguraban que enviarían los supuestos historiales al correo electrónico del usuario una vez realizado el pago. En la práctica, el mensaje nunca llegaba o contenía la misma información inventada. La sensación de “producto profesional” buscaba que las víctimas asumieran con normalidad el desembolso inicial o la contratación de una suscripción.
El modus operandi: datos falsos, ingeniería social y cobros por suscripción
El funcionamiento interno de la estafa combinaba varias capas. Por un lado, la parte visible para el usuario, centrada en formular promesas llamativas y resultados aparentemente plausibles. Por otro, una estructura de cobros que aprovechaba tanto el sistema oficial de pagos de Google Play como métodos externos, más difíciles de rastrear y reclamar.
En muchos casos, las aplicaciones solicitaban al usuario registrarse, introducir el número de teléfono “objetivo” y seleccionar un plan de pago semanal, mensual o anual. Los precios iban desde unos 5 euros hasta alrededor de 80 dólares, dependiendo del tipo de acceso ofertado. Una vez completado el pago, la app mostraba en pantalla los supuestos historiales o prometía enviarlos por correo electrónico.
Varias de estas herramientas utilizaban notificaciones internas para aumentar la presión. Aparecían avisos falsos simulando correos entrantes o mensajes de sistema que indicaban que los registros ya estaban listos, pero que era necesario “finalizar el pago” o “verificar la suscripción” para poder consultarlos. Esta táctica de ingeniería social buscaba que el usuario actuara con prisa y sin hacer demasiadas preguntas.
Una característica llamativa es que las apps apenas pedían permisos sensibles en el dispositivo. No necesitaban acceder a contactos, micrófono o almacenamiento porque no extraían datos reales del teléfono. Ese bajo nivel de permisos ayudó a que pasaran más desapercibidas tanto para los sistemas automáticos de detección de Google como para usuarios que suelen fijarse precisamente en ese tipo de solicitudes.
El negocio se completaba con los métodos de cobro. Algunas aplicaciones usaban el sistema oficial de facturación de Google Play, lo que daba una apariencia de legalidad y facilitaba el pago con tarjeta o saldo de la cuenta de Google. Otras derivaban el proceso a enlaces externos, pasarelas de pago de terceros o sistemas locales como UPI, muy extendido en India. En estos últimos casos, solicitar un reembolso resultaba mucho más complicado.
Alcance global del fraude y perfil de las víctimas
Según los datos recogidos por ESET, el grupo de apps asociado a CallPhantom superó los 7,3 millones de instalaciones desde Google Play. El mayor volumen de descargas se concentró en India y otros países de la región Asia-Pacífico, donde el uso de sistemas de pago como UPI es masivo y la promesa de acceder a registros de llamadas generó un fuerte tirón.
Aun así, el fraude no se limitó a un solo continente. Al estar publicadas en la tienda oficial de Android, estas aplicaciones podían descargarse también desde Europa y España, siempre que estuvieran disponibles en el catálogo local. La combinación de un tema muy buscado —espiar llamadas o WhatsApp— y una interfaz aparentemente normal facilitó que cualquier usuario curioso pudiera caer en la trampa.
Los expertos señalan que muchas víctimas no eran necesariamente personas con conocimientos técnicos, sino usuarios que, movidos por la desconfianza o los celos, buscaban controlar la actividad de parejas, familiares o empleados. Este caldo de cultivo hizo que, a pesar de las reseñas negativas que algunos afectados dejaban en la tienda, siguieran llegando nuevos usuarios dispuestos a probar suerte.
Además de las descargas orgánicas desde Google Play, los responsables de la estafa impulsaron las aplicaciones con campañas en redes sociales, anuncios poco transparentes y páginas web de aspecto dudoso. En estos canales se promocionaban las apps como soluciones discretas para averiguar con quién habla alguien o qué mensajes envía, reforzando la idea de que se trataba de una herramienta de espionaje avanzada.
El resultado fue un fenómeno difícil de frenar durante meses. La combinación de curiosidad, promesas imposibles y cierto halo de ilegalidad contribuyó a mantener la rueda girando, incluso cuando ya existían comentarios que advertían del engaño y de la falta de resultados reales.
Reseñas falsas, falta de control y reacción de Google
Una de las claves para que estas apps fraudulentas se mantuvieran activas tanto tiempo fue el uso intensivo de reseñas falsificadas y puntuaciones infladas. En muchos casos, las fichas de la aplicación en Google Play mostraban valoraciones muy positivas y comentarios elogiosos, que daban la impresión de estar ante un servicio fiable y funcional.
Entre esas opiniones artificiales se mezclaban reseñas auténticas de usuarios que denunciaban abiertamente la estafa: se quejaban de que no recibían los supuestos historiales, de que los datos eran inventados o de que era imposible recuperar el dinero. Sin embargo, la avalancha de puntuaciones de cinco estrellas camuflaba en parte estas críticas, sobre todo para quien solo echaba un vistazo rápido antes de descargar.
La situación puso a prueba los mecanismos de control de Google Play. A pesar de que la política oficial de la tienda prohíbe las apps destinadas a espiar o vulnerar la privacidad de terceros, estas herramientas consiguieron superar los filtros automáticos y permanecer disponibles durante meses. Que no se comportaran como malware tradicional y no solicitaran permisos intrusivos jugó a su favor.
De acuerdo con ESET, la compañía de ciberseguridad notificó a Google la existencia de esta red de aplicaciones engañosas a finales de 2025. Tras el aviso, la empresa fue retirando todas las variantes asociadas a CallPhantom de la Play Store y canceló automáticamente las suscripciones activas gestionadas a través de su propio sistema de pagos.
No obstante, para muchos afectados la intervención llegó tarde. Quienes habían pagado por medios externos a Google Play, como plataformas de terceros o sistemas locales de transferencia, se encontraron con que las opciones de recuperar el dinero eran muy limitadas. En otros casos, los usuarios no solicitaron reembolso por vergüenza o por temor a admitir que habían intentado espiar comunicaciones ajenas.
Qué hacer si has sido víctima de una app como CallPhantom
Para quienes hayan caído en esta estafa o en alguna similar, los especialistas recomiendan actuar con rapidez. Si el pago se realizó mediante el sistema oficial de facturación de Google Play, es posible acudir a la sección de Pagos y suscripciones de la tienda, cancelar la suscripción y solicitar un reembolso, sobre todo si la compra es reciente.
En el caso de haber utilizado métodos externos de pago, el escenario se complica. Lo más recomendable es contactar directamente con el proveedor de la pasarela de pago (banco, servicio tipo UPI u otra plataforma) y explicar la situación, aportando capturas y justificantes. Aunque las probabilidades de recuperar el importe no son altas, es importante dejar constancia del fraude y, si procede, bloquear futuras transacciones relacionadas.
También conviene desinstalar inmediatamente cualquier app sospechosa del dispositivo, revisar qué otras aplicaciones tienen acceso a datos sensibles y cambiar las contraseñas de servicios vinculados, como la cuenta de Google o el correo electrónico. Aun cuando estas apps no actuaran como malware clásico, es recomendable extremar la precaución ante cualquier comportamiento extraño del teléfono.
En Europa, incluida España, los consumidores cuentan con cierta protección legal frente a cobros indebidos o servicios que no se corresponden con lo prometido. En caso de haber pagado con tarjeta, se puede intentar un contracargo contactando con la entidad bancaria y alegando que se trata de un servicio fraudulento. No siempre prospera, pero es una vía a considerar.
Por último, los expertos en ciberseguridad insisten en que vale la pena reportar la aplicación tanto a Google como a las autoridades competentes en materia de delitos informáticos. Cuantos más informes existan sobre una app sospechosa, más fácil resulta retirarla de las tiendas oficiales y evitar que otras personas caigan en el mismo engaño.
Cómo evitar caer en apps que prometen espiar WhatsApp y llamadas
La principal lección del caso CallPhantom es que cualquier aplicación que prometa espiar a terceros o acceder a información privada sin su consentimiento debería disparar todas las alarmas. No solo porque sea éticamente cuestionable, sino porque, en la práctica, suele ser el gancho perfecto para este tipo de fraudes.
Los especialistas recomiendan seguir una serie de pautas antes de instalar apps de este tipo. La primera es desconfiar de ofertas que suenen demasiado buenas, especialmente si hablan de ver conversaciones ajenas, rastrear móviles sin permiso o recuperar historiales que ya han sido eliminados. Estas funciones chocan con la normativa de privacidad vigente y rara vez son técnicamente viables tal como se anuncian.
También es fundamental revisar con calma las reseñas y la información del desarrollador. Una app con miles de valoraciones perfectas pero comentarios genéricos, repetidos o mal redactados debería levantar sospechas. Del mismo modo, conviene priorizar aplicaciones de empresas o desarrolladores verificados, con páginas web claras y políticas de privacidad transparentes.
Otra medida básica es controlar los permisos que una app solicita al instalarse. Aunque en el caso de CallPhantom las apps pedían pocos permisos, en otros fraudes sí se intenta acceder a contactos, ubicación, micrófono o mensajes. Si una herramienta pide acceso a funciones que no tienen relación con lo que promete ofrecer, lo más prudente es cancelarla antes de darle permiso.
Por último, se recomienda usar siempre métodos de pago seguros e integrados en la propia tienda oficial, evitando introducir datos de tarjetas o credenciales bancarias en formularios externos o páginas enlazadas desde la app. Y, ante la mínima duda, es preferible buscar información adicional, consultar fuentes de confianza o, directamente, renunciar a ese servicio. Ninguna solución mágica compensa el riesgo de perder dinero o exponer la propia privacidad.
Este caso ha dejado claro que, incluso en entornos aparentemente controlados como Google Play, las estafas digitales pueden alcanzar a millones de usuarios en poco tiempo. La combinación de curiosidad, falta de información y promesas imposibles sigue siendo terreno fértil para los ciberdelincuentes. Mantener una actitud crítica, revisar bien qué instalamos en el móvil y respetar la privacidad ajena se ha convertido en una pieza clave para navegar con algo más de tranquilidad en el mundo de las apps.
Editor profesional de Tecnología y Software