- Más de 1.000 millones de móviles Android en el mundo funcionarían sin parches de seguridad, expuestos a robo de datos y contraseñas.
- La fragmentación del ecosistema Android y el fin prematuro del soporte en muchos modelos dejan abiertas vulnerabilidades conocidas.
- El spyware y los troyanos bancarios se han convertido en las amenazas más activas para robar credenciales y datos financieros.
- Actualizar el sistema, evitar apps externas y reforzar ajustes de seguridad es clave para reducir el riesgo en España y Europa.
Más de mil millones de móviles Android activos en todo el mundo podrían estar hoy expuestos a ataques capaces de robar datos personales, contraseñas e incluso credenciales bancarias. No se trata de un fallo puntual ni de un virus aislado, sino de un problema estructural: una parte enorme del parque de teléfonos sigue utilizando versiones antiguas de Android sin soporte de seguridad.
En Europa y también en España, donde el móvil se ha convertido en la herramienta principal para banca online, compras, redes sociales y trabajo remoto, esta situación supone un riesgo silencioso que muchas personas no perciben. Mientras el dispositivo siga encendiendo y las apps funcionen, se tiende a pensar que todo va bien, pero en realidad cada mes se descubren decenas de vulnerabilidades críticas que los modelos sin parches ya no pueden corregir.
Un tercio de los Android del mundo, sin protección real
Los datos que manejan firmas como Zimperium y StatCounter dibujan un panorama preocupante. Según sus últimos informes, más del 30 % de los usuarios de Android sigue usando Android 13 o versiones anteriores, un sistema lanzado en 2022 que en muchos móviles ya ha dejado de recibir actualizaciones de seguridad. Traducido a cifras, estaríamos hablando de cerca de 1.000 millones de dispositivos potencialmente desprotegidos.
La cifra no se queda ahí. Zimperium calcula que en cualquier momento del año más de la mitad de los smartphones en circulación ejecuta una versión desactualizada del sistema operativo. Es decir, aunque el teléfono parezca moderno, es muy posible que no cuente con los parches necesarios para cerrar agujeros de seguridad conocidos.
Un ejemplo claro es el parche de seguridad de Android de diciembre, que corrigió 107 vulnerabilidades, muchas de ellas críticas. Todos los móviles que ya no entran en el ciclo de actualizaciones han quedado expuestos a esos fallos de forma indefinida: los atacantes saben qué errores se han parcheado y pueden apuntar sus ataques precisamente a quienes no pueden actualizar.
Esta situación afecta de lleno a Europa y España, donde el mercado Android es mayoritario frente a iOS. Aunque la mayoría de titulares hablan de cifras globales, se puede asumir que decenas de millones de móviles en la UE funcionan con versiones sin soporte, convirtiéndose en una puerta abierta al robo de datos si el usuario no toma precauciones adicionales.
La fragmentación de Android: de ventaja a talón de Aquiles
Durante años se ha repetido que una de las grandes virtudes de Android es su enorme variedad de marcas, modelos y rangos de precio. Esa diversidad ha permitido que millones de personas en España y en el resto de Europa accedan a un smartphone sin necesidad de gastar una fortuna. Sin embargo, esa misma variedad se ha convertido en una debilidad clave en seguridad.
A diferencia de Apple, que controla tanto el hardware como el software y puede lanzar actualizaciones al mismo tiempo para prácticamente todos sus iPhone, Android depende de cientos de fabricantes, distintos procesadores y capas de personalización. Cada marca tiene su propio calendario de actualizaciones y, en muchos casos, deja de dar soporte a modelos relativamente recientes.
El resultado es un ecosistema en el que una vulnerabilidad puede estar perfectamente documentada y corregida en las últimas versiones, pero seguir siendo aprovechable durante meses o años en millones de teléfonos que ya no reciben parches. Cuando los ciberdelincuentes saben qué modelos concretos están expuestos y qué fallos arrastran, el objetivo se vuelve muy claro.
En el lado de Apple, la situación es distinta, aunque no perfecta. StatCounter estima que alrededor del 90 % de los iPhone activos en el mundo continúa recibiendo soporte oficial, lo que deja solo a un 10 % en riesgo por software desactualizado. No obstante, el informe de Zimperium recuerda que los usuarios de iOS tampoco están a salvo: buena parte de las amenazas se basan en ataques de intermediario, redes WiFi inseguras y técnicas de ingeniería social.
En Android, en cambio, la combinación de fragmentación y fin prematuro de soporte multiplica las oportunidades de ataque. Un móvil que sigue funcionando de forma fluida, pero que ya no tiene actualizaciones, pasa de ser un dispositivo cotidiano a convertirse en un blanco fácil para el robo de datos y contraseñas.
Cuando tu Android deja de actualizarse, la seguridad cae en picado
Muchos usuarios confunden la ausencia de errores visibles con seguridad. Sin embargo, perder el soporte oficial no significa solo renunciar a funciones nuevas o a cambios de diseño. Implica algo más delicado: el teléfono empieza a acumular fallos de seguridad sin solución, justo en un momento en que el móvil es la llave para casi toda la vida digital.
En el dispositivo se almacenan, y a menudo se gestionan sin que el usuario sea plenamente consciente, accesos a la banca online, contraseñas de correo y redes sociales, datos fiscales, fotografías personales e incluso llaves digitales para servicios y aplicaciones sensibles; por eso conviene saber cómo borrar tu pasado de internet. Cuando aparecen vulnerabilidades que permiten el acceso remoto al sistema y no se corrigen mediante un parche, todos esos datos pueden quedar al alcance de terceros.
Los especialistas en ciberseguridad advierten de que muchas de estas vulnerabilidades, que en un primer momento se descubren en ataques dirigidos, terminan convirtiéndose en herramientas estándar del cibercrimen. Una vez el método de ataque se documenta y se prueba su eficacia, se automatiza, se vende en foros clandestinos y se reutiliza a gran escala contra cualquier móvil vulnerable.
El panorama se agrava cuando se cruzan dos factores: por un lado, un dispositivo que ya no recibe actualizaciones; por otro, hábitos de riesgo por parte del usuario, como instalar aplicaciones desde fuentes desconocidas o conectarse a redes WiFi abiertas. En ese escenario, el robo de contraseñas, datos bancarios o información privada deja de ser una posibilidad teórica y se convierte en una amenaza muy real.
En países europeos con alta penetración de servicios digitales —incluida España, donde el uso del móvil para pagar y firmar operaciones bancarias es cotidiano—, la decisión de conservar un terminal antiguo por motivos económicos tiene un coste oculto en forma de exposición constante a fraudes y estafas online.
Malware móvil: del spyware a los troyanos bancarios
El informe de Zimperium pone el foco en cómo ha evolucionado el malware dirigido a móviles Android. El objetivo ya no es solo mostrar publicidad intrusiva o ralentizar el dispositivo, sino obtener el máximo beneficio económico con la mínima intervención del usuario.
Entre las amenazas más extendidas destaca el spyware, un tipo de software espía que se esconde en el sistema y recopila datos sensibles de forma continua. Aprovechando permisos excesivos, fallos en el almacenamiento de información o comunicaciones poco seguras, es capaz de rastrear mensajes, historiales de navegación, contactos, ubicación y otros datos personales sin que el propietario del teléfono lo note.
Junto al spyware, se observa un incremento muy notable de troyanos bancarios (banker trojans) específicos para Android, como Vultur, DroidBot o BlankBot. Estas variantes están diseñadas para interceptar credenciales financieras, monitorizar la actividad en apps de banca y, en algunos casos, manipular la pantalla o generar superposiciones falsas para que el usuario introduzca sus datos en formularios controlados por los atacantes.
El malware moderno ya no se conforma con atacar una aplicación concreta: busca comprometer el dispositivo al completo. Por medio de vulnerabilidades del sistema operativo y técnicas de escalada de privilegios, los ciberdelincuentes pueden acceder a claves, tokens de sesión, contraseñas almacenadas y otros datos críticos que residen en la memoria del móvil.
Una vez que el teléfono ha sido comprometido, es posible alterar el comportamiento de aplicaciones legítimas, espiar lo que hace el usuario y ejecutar operaciones fraudulentas en segundo plano. Si a ello sumamos que muchos modelos Android antiguos no tienen ya acceso a las últimas protecciones de Google, el riesgo de robo de contraseñas y datos bancarios se dispara.
El papel de las apps externas y las redes inseguras
Otro de los puntos que subrayan los informes es el impacto de la instalación de aplicaciones fuera de la tienda oficial de Google. En Android es relativamente sencillo activar la opción de orígenes desconocidos y descargar archivos APK desde páginas web, tiendas alternativas o enlaces que llegan por correo, mensajería o redes sociales.
Muchas de esas aplicaciones prometen funciones premium gratuitas, versiones modificadas de juegos o herramientas de optimización que, en realidad, pueden incluir componentes maliciosos. Detrás de esas promesas se esconden con frecuencia programas diseñados para robar contraseñas, espiar conversaciones, acceder a contactos o redirigir a páginas fraudulentas donde se capturan datos de tarjetas y banca online.
A esto se suma el uso habitual de redes WiFi públicas o poco seguras, muy comunes en cafeterías, aeropuertos, hoteles o transporte público. Conectarse a este tipo de redes sin medidas adicionales permite, en algunos casos, que terceros intercepten el tráfico y puedan leer datos transmitidos sin cifrar, como credenciales o tokens de inicio de sesión.
En el entorno iOS, Zimperium destaca que el 54 % de las amenazas detectadas se relaciona con ataques de intermediario, como el mishing (mensajes que simulan ser comunicaciones oficiales para engañar al usuario). Además, cerca del 40 % de los incidentes en iPhone se vincula a redes WiFi inseguras. Aunque el ecosistema de Apple cuente con mejor soporte de actualizaciones, los peligros asociados a malas prácticas de uso siguen presentes.
En definitiva, tanto en Android como en iOS, la combinación de dispositivos sin parches, apps de origen dudoso y conexiones inseguras crea el caldo de cultivo perfecto para que el robo de datos personales y contraseñas se dispare, especialmente en regiones muy conectadas como la Unión Europea.
Ingeniería social: cuando el eslabón débil es el usuario
Más allá del software y del hardware, los expertos coinciden en que la ingeniería social es uno de los vectores de ataque más efectivos. Los ciberdelincuentes se apoyan en correos electrónicos, SMS y mensajes en aplicaciones de mensajería que imitan comunicaciones legítimas, como avisos bancarios, notificaciones de empresas de mensajería o supuestas alertas de seguridad.
Este tipo de engaño, conocido como phishing o mishing (cuando se realiza vía mensajes móviles), invita al usuario a hacer clic en un enlace, descargar un archivo adjunto o introducir sus credenciales en una web que parece real, pero que en realidad está controlada por los atacantes. En dispositivos antiguos, sin los mecanismos de protección más recientes, la probabilidad de caer en la trampa y sufrir un robo de datos aumenta.
En muchas ocasiones, el mensaje juega con la urgencia o el miedo: bloqueos de cuenta, supuestos cobros desconocidos, paquetes retenidos o problemas fiscales. Frente a este tipo de situaciones, la recomendación general es no pinchar directamente en los enlaces incluidos y, en su lugar, acceder al servicio desde la app oficial o la web del banco o empresa, escribiendo la dirección manualmente.
En España y el resto de Europa se han disparado los casos de fraudes bancarios vinculados a SMS y mensajes falsos. Si a esto le sumamos móviles que ya no reciben actualizaciones, sin protección frente a los últimos troyanos bancarios, el escenario para el robo de contraseñas y dinero es especialmente delicado.
La conclusión que extraen los analistas es clara: la seguridad del teléfono no depende solo del fabricante. Las decisiones diarias del usuario —qué instala, a qué enlaces accede y qué redes utiliza— marcan en buena medida el nivel de exposición a ataques.
El coste oculto de aguantar con un móvil viejo
El fuerte encarecimiento de los smartphones en los últimos años ha llevado a muchos usuarios en Europa a alargar al máximo la vida útil de sus teléfonos. Cambiar de modelo cada dos o tres años ya no es tan habitual, y no son pocos los que mantienen un dispositivo mientras siga “tirando”.
Esta lógica es comprensible desde el punto de vista económico, pero los informes de ciberseguridad recuerdan que existe un precio menos visible: la exposición prolongada a ataques. Un móvil que se queda fuera del calendario de actualizaciones puede seguir pareciendo moderno, pero cada mes acumula más vulnerabilidades sin corregir.
La recomendación de los expertos es tener en cuenta, al comprar un nuevo teléfono Android, los años de actualizaciones garantizados que ofrece cada fabricante y la compatibilidad de aplicaciones clave como Chrome para Android dejará de actualizarse. Algunas marcas de referencia ya prometen varios años de parches de seguridad e incluso actualizaciones de versión en gamas medias y altas, algo que, en la práctica, supone una inversión en tranquilidad digital.
Cuando se piensa en el posible impacto de un ataque —desde el vaciamiento de cuentas bancarias hasta la suplantación de identidad o la difusión de información privada—, el coste de renovar un terminal antes de que quede sin soporte resulta, en muchos casos, menor que el de afrontar las consecuencias de un robo de datos.
Al mismo tiempo, las autoridades y organismos europeos insisten en la importancia de que los fabricantes mejoren la duración del soporte y la transparencia sobre cuánto tiempo recibirán parches de seguridad sus dispositivos. Para el usuario final, saber hasta cuándo estará protegido es un dato tan relevante como la cámara o la batería.
Ajustes clave para blindar un Android frente al robo de datos
Más allá del modelo concreto de teléfono, existen una serie de configuraciones y hábitos que cualquier usuario de Android puede aplicar para reducir significativamente el riesgo de robo de contraseñas y datos personales, incluso si el móvil no es de última generación.
La primera línea de defensa es un bloqueo de pantalla robusto. Un dispositivo sin PIN, contraseña o sistema biométrico deja toda la información al alcance de cualquiera en caso de pérdida o robo. Lo ideal es combinar un código difícil de adivinar con huella dactilar o reconocimiento facial, además de ajustar el tiempo de bloqueo automático para que la pantalla se cierre en pocos segundos de inactividad.
La autenticación en dos pasos (2FA) es otra pieza fundamental. En servicios como la cuenta de Google, correo electrónico y aplicaciones bancarias, añadir un segundo factor —ya sea un código por SMS, una app de autenticación o una llave física— hace que, aunque alguien consiga la contraseña, no pueda acceder sin ese paso adicional. Configurar esta opción lleva unos minutos y reduce drásticamente el impacto de las filtraciones de credenciales.
Igualmente importante es mantener tanto el sistema operativo como las aplicaciones siempre actualizados. Activar las actualizaciones automáticas desde la Play Store y aceptar los parches de seguridad que lleguen al dispositivo disminuye el número de puertas abiertas a posibles atacantes. En el momento en que el fabricante deje de enviar estas actualizaciones, conviene valorar seriamente el reemplazo del terminal.
La revisión periódica de los permisos de las aplicaciones también marca la diferencia. Muchas apps solicitan acceso a la cámara, el micrófono, los contactos o la ubicación sin que sea estrictamente necesario. Desde el menú de ajustes se pueden limitar esos permisos a “solo al usar la aplicación” o, directamente, denegarlos, reduciendo así la cantidad de información que las aplicaciones pueden recopilar en segundo plano.
Buenas prácticas para el día a día digital
Junto a los ajustes del sistema, hay una serie de buenas prácticas cotidianas que ayudan a minimizar el riesgo de robo de datos y contraseñas en móviles Android, tanto en España como en el resto de Europa.
La primera es evitar, en la medida de lo posible, las redes WiFi públicas o abiertas. Cuando no quede otro remedio que usarlas, es recomendable apoyarse en una VPN fiable que cifre el tráfico y dificulte que terceros intercepten la información transmitida. También es aconsejable desactivar la conexión automática a redes conocidas para tener un mayor control sobre cada conexión.
Otra medida de gran impacto es instalar únicamente aplicaciones desde Google Play u otras tiendas de confianza claramente identificadas, evitando el llamado sideloading, aunque la app parezca legítima o prometedora. La mayoría de campañas de malware móvil se aprovechan precisamente de descargas desde enlaces externos y sitios web poco fiables.
El uso de un antivirus o solución antimalware actualizada puede aportar una capa extra de protección, al analizar archivos, descargas y comportamientos sospechosos antes de que puedan causar daño. No es una solución mágica, pero puede detectar y bloquear muchas amenazas conocidas, especialmente aquellas que intentan colarse mediante engaños o archivos maliciosos.
También resulta esencial configurar y probar funciones como “Encontrar mi dispositivo”, que permiten localizar el móvil, bloquearlo de forma remota o borrar su contenido en caso de pérdida o robo. Tener activada esta opción y saber utilizarla puede marcar la diferencia entre perder solo el hardware o ver comprometida una gran cantidad de información personal.
En paralelo, la realización de copias de seguridad automáticas en servicios como Google Drive permite recuperar contactos, fotos, documentos y ajustes en caso de incidente grave, minimizando el impacto y facilitando la transición a un dispositivo nuevo si el anterior queda inutilizado.
Un problema global con impacto directo en la vida diaria
El hecho de que más de mil millones de móviles Android operen sin parches de seguridad coloca a una parte importante de la población mundial —y, por extensión, europea— en una situación de vulnerabilidad constante frente al robo de datos, contraseñas y dinero. No es un riesgo teórico ni limitado a usuarios “poco expertos”; afecta a cualquiera que use el teléfono para su día a día.
Entre la fragmentación del ecosistema Android, el fin anticipado del soporte en muchos modelos y la proliferación de malware sofisticado, los ciberdelincuentes cuentan con un escenario muy favorable. Solo con reforzar los ajustes de seguridad, actualizar siempre que sea posible y evitar aplicaciones y redes de riesgo, los usuarios pueden cerrar muchas de las puertas que hoy siguen abiertas.
En un contexto en el que el smartphone se ha convertido en la pieza central de la vida digital, cuidar su seguridad ya no es un extra opcional, sino una parte imprescindible de la protección de la identidad, las finanzas y la privacidad de cada persona.
