Pagar por una app para espiar a tu pareja puede salir más caro que un divorcio: caer en una estafa

Aquellas personas que confían en aplicaciones que prometen espiar celulares de terceros con la esperanza de acceder a llamadas, mensajes y conversaciones de WhatsApp de sus parejas o conocidos, fueron objetivos de estafa y su dinero puede estar en riesgo.

Al acceder a estas plataformas, muchos lo que en realidad se encuentran es un esquema de fraude global, orquestado por una red de ciberdelincuentes que aprovecha la curiosidad de los usuarios y termina generando pérdidas económicas y riesgos adicionales para las víctimas.

Cómo funcionan las apps fraudulentas de espionaje

Las investigaciones de ESET, empresa especializada en ciberseguridad, revelaron la existencia de al menos 28 aplicaciones distribuidas en Google Play bajo la campaña denominada CallPhantom. Estas apps aseguraban poder recuperar historiales de llamadas, registros de mensajes SMS y hasta logs de WhatsApp de cualquier número telefónico.

El proceso era sencillo para el usuario: descargar la aplicación, ingresar el número de teléfono que se quería espiar y observar cómo la pantalla mostraba barras de progreso, mensajes y simulaciones de carga que fingían estar accediendo a información privada en tiempo real. Para visualizar los supuestos resultados, la app exigía el pago de una suscripción o tarifa especial.

Sin embargo, el análisis de los expertos fue contundente: ninguna de estas aplicaciones tenía la capacidad de acceder a datos reales. Todo el contenido presentado –números de teléfono, nombres, horarios y duraciones de llamadas– era generado de manera aleatoria y predefinida dentro del código de la aplicación.

El usuario, tras pagar, solo recibía información fabricada, pero presentada con un formato que buscaba engañar y convencer de su autenticidad.

Cuántas personas fueron víctimas de esta estafa

La magnitud de la estafa fue global. CallPhantom y sus variantes lograron superar los 7,3 millones de descargas antes de ser retiradas de la tienda oficial de Android. Los delincuentes detrás de este esquema apelaron a la curiosidad y el deseo de control de los usuarios, quienes terminaron pagando hasta 80 dólares por suscripciones anuales por datos falsos.

Para incrementar la credibilidad de sus productos, los desarrolladores utilizaban nombres falsos, como “Indian gov.in”, simulando una supuesta afiliación con entidades oficiales. Además, las apps publicaban reseñas falsas para atraer a más víctimas y presentaban capturas de pantalla con historiales inventados como si fueran pruebas de funcionamiento.

Los métodos de cobro eran variados: desde suscripciones oficiales de Google Play, pasando por plataformas de pago de terceros compatibles con UPI, hasta formularios internos para ingresar directamente los datos de la tarjeta bancaria.

En muchos casos, las aplicaciones incluían URLs codificadas o utilizaban bases de datos en tiempo real, lo que permitía a los operadores modificar las cuentas receptoras de pagos en cualquier momento y dificultar la recuperación del dinero.

Cuando el usuario intentaba salir de la app sin pagar, esta enviaba notificaciones insistiendo en que los resultados ya estaban disponibles, presionando para completar la suscripción y aumentar la urgencia de la decisión.

Cuáles eran los riesgos para quienes pagan por estas apps

El principal riesgo es financiero: los usuarios pierden el dinero invertido sin recibir ningún dato verdadero. Las sumas cobradas iban desde cinco euros en los niveles más bajos hasta 80 dólares por suscripciones anuales.

En los casos en que el pago se realizaba mediante Google Play, era posible solicitar algún reembolso, pero si el pago se hacía por plataformas externas o ingresando la tarjeta directamente en la app, las víctimas quedaban a merced de los desarrolladores o de los intermediarios de pago, sin protección ni posibilidad de recuperar el dinero.

A esto se suma el peligro de exponer datos bancarios en plataformas administradas por ciberdelincuentes. Ingresar información sensible como los datos de la tarjeta de crédito en una aplicación fraudulenta puede derivar en cargos no autorizados y eventuales robos de identidad o acceso indebido a cuentas bancarias.

Además, el uso de estas apps puede generar consecuencias legales, ya que la promesa de espiar comunicaciones privadas sin consentimiento es, por definición, una actividad ilícita.

Según el análisis de ESET, ninguna aplicación legítima puede obtener datos privados de otro número sin el consentimiento y acceso físico al dispositivo. Cualquier afirmación contraria es una señal clara de estafa.