¿Cuánto ha crecido el malware móvil en 2025-2026?

Las detecciones de malware móvil han crecido un 52% entre 2024 y 2026 según datos de Kaspersky y Zimperium. Los banking trojans y el spyware comercial representan las categorías con mayor crecimiento.

¿Es más seguro iOS que Android frente al malware?

iOS tiene un modelo de seguridad más restrictivo (sandbox estricto, App Store review, sin side-loading hasta regulación EU), pero no es inmune. Pegasus demostró que exploits zero-click pueden comprometer iPhones sin interacción del usuario. Android sufre más volumen de malware por la fragmentación y la posibilidad de side-loading.

¿Qué es Malware-as-a-Service (MaaS) en el contexto móvil?

MaaS móvil es un modelo de negocio criminal donde los desarrolladores de malware alquilan sus herramientas (banking trojans, stealers, RATs) a otros actores por suscripción mensual. Familias como Cerberus, Xenomorph y Hook operan con este modelo, reduciendo la barrera de entrada para atacantes sin conocimientos técnicos.

¿Cuáles son los vectores principales de distribución de malware móvil?

Los vectores principales son: phishing por SMS (smishing), apps troyanizadas en tiendas oficiales (dropper apps), tiendas alternativas, side-loading de APKs, y enlaces maliciosos distribuidos por redes sociales y mensajería instantánea.

¿Qué categorías de malware móvil son más peligrosas para empresas?

Los banking trojans (robo de credenciales corporativas), el spyware (espionaje industrial y gubernamental), y los RATs (acceso remoto total al dispositivo) representan las amenazas más críticas para entornos corporativos.

Principiantemalware móvilAndroidiOSbanking trojanspywareMaaS

Panorama del Malware Móvil en 2026: Android, iOS y Tendencias

Panorama completo del malware móvil en 2026. Comparativa de modelos de seguridad Android vs iOS, categorías de amenazas (banking trojans, spyware, adware, ransomware, stalkerware), estadísticas 2024-2026, vectores de distribución, familias más activas y tendencias emergentes como MaaS y malware potenciado con IA.

MalwareIntel Research·6 de junio de 2026·12 min lectura

Serie: Malware Móvil — Parte 1

Un ecosistema de amenazas en expansión

Los smartphones se han convertido en el punto de acceso principal a cuentas bancarias, correo corporativo, autenticación de dos factores y comunicaciones confidenciales. Esta concentración de valor los convierte en objetivo prioritario para actores de amenazas de todo tipo: desde grupos de cibercrimen organizado hasta estados-nación.

En 2026, el malware móvil no es un problema emergente. Es un ecosistema maduro, con modelos de negocio definidos, cadenas de suministro criminales y familias de malware que evolucionan con cada actualización de seguridad de Google o Apple.

Este artículo proporciona una visión panorámica del estado actual de las amenazas móviles, los modelos de seguridad de ambas plataformas, las categorías de malware más relevantes y las tendencias que definen el panorama en 2026.

Modelos de seguridad: Android vs iOS

Android: libertad con responsabilidad

El modelo de seguridad de Android se basa en varios pilares:

Sandbox de aplicaciones. Cada app se ejecuta en su propio proceso Linux con un UID único. Las apps no pueden acceder directamente a los datos de otras aplicaciones sin permisos explícitos.

Sistema de permisos. Android requiere que las aplicaciones declaren los permisos que necesitan en el AndroidManifest.xml. Desde Android 6.0 (Marshmallow), los permisos sensibles requieren aprobación del usuario en tiempo de ejecución.

SELinux (Security-Enhanced Linux). Android aplica políticas SELinux en modo enforcing desde Android 5.0. Esto limita lo que cada proceso puede hacer incluso si obtiene permisos elevados.

Google Play Protect. Sistema de escaneo integrado que analiza aplicaciones antes y después de la instalación, tanto de Play Store como side-loaded.

Verified Boot. La cadena de arranque verifica la integridad del sistema operativo. Si se detecta una modificación, el dispositivo muestra una advertencia o se niega a arrancar.

Sin embargo, Android tiene vulnerabilidades estructurales:

Fragmentación: En 2026, un porcentaje significativo de dispositivos ejecuta versiones de Android que ya no reciben parches de seguridad. Los fabricantes tienen tiempos de actualización variables.
Side-loading: Aunque requiere activación manual, la posibilidad de instalar APKs fuera de Play Store es un vector de distribución activo.
Tiendas alternativas: Samsung Galaxy Store, Amazon Appstore y tiendas regionales tienen estándares de revisión menos estrictos que Google Play.

iOS: control estricto con excepciones

Apple aplica un modelo de seguridad más cerrado:

App Store como único canal (con excepciones EU). Históricamente, la App Store era el único medio de instalar aplicaciones. La regulación europea (DMA) ha forzado a Apple a permitir tiendas alternativas en la UE desde iOS 17.4, con requisitos de notarización.

Sandbox más restrictivo. Las apps iOS operan en un sandbox más estricto que Android. El acceso al sistema de archivos está limitado al contenedor de la app.

App Transport Security (ATS). iOS fuerza el uso de HTTPS para todas las conexiones de red por defecto.

Secure Enclave. Un coprocesador dedicado almacena claves criptográficas y datos biométricos de forma aislada del procesador principal.

Code signing obligatorio. Toda app debe estar firmada. El código no firmado no se ejecuta.

Pero iOS no es invulnerable:

Zero-click exploits: Pegasus, Predator y otros spyware comerciales han demostrado que vulnerabilidades en iMessage, FaceTime o WebKit pueden comprometer iPhones sin interacción del usuario.
Perfiles de gestión MDM: Perfiles MDM maliciosos pueden instalar configuraciones que monitorizan el tráfico o instalan certificados CA.
Jailbreak: Aunque cada vez menos frecuente, el jailbreak elimina las protecciones del sandbox.

Comparativa de seguridad

Característica	Android	iOS
App sandbox	Por proceso Linux	Contenedor dedicado
Instalación fuera de tienda	Side-loading disponible	Solo EU (DMA) con notarización
Actualizaciones de seguridad	Depende del fabricante	Centralizado por Apple
Cifrado de disco	Obligatorio desde Android 10	Obligatorio desde iOS 8
Revisión de apps	Google Play Protect + review	App Store review + notarización
Hardware security module	Titan M (Pixel), TrustZone	Secure Enclave
Política de permisos	Granular, runtime desde 6.0	Granular, runtime

Categorías de malware móvil

Banking trojans

Los banking trojans móviles son la categoría con mayor impacto financiero directo. Estas familias se especializan en robar credenciales bancarias mediante técnicas de overlay (superponer ventanas falsas sobre apps legítimas), intercepción de SMS para capturar códigos OTP, y grabación de pantalla.

Familias destacadas en 2026: Vultur, Xenomorph, TeaBot, Hook (sucesor de Ermac), Anatsa (TeaBot v2), y Coper/Octo.

El modelo de negocio predominante es MaaS: los desarrolladores alquilan el malware a operadores por entre 3.000 y 7.000 USD mensuales, incluyendo panel de control, builder de APKs y soporte técnico.

Spyware

El spyware móvil abarca desde herramientas comerciales de vigilancia (Pegasus, Predator, Hermit) hasta aplicaciones de stalkerware para consumidores (mSpy, FlexiSpy, Cocospy).

Las capacidades típicas incluyen: grabación de llamadas, captura de pantalla, acceso a la cámara y micrófono, lectura de mensajes (incluyendo apps cifradas como Signal o WhatsApp), y seguimiento GPS.

El spyware comercial de nivel estatal (NSO Group, Cytrox, RCS Lab) se distingue por el uso de exploits zero-day y zero-click, lo que lo convierte en una amenaza para la que no existe defensa a nivel de usuario.

Adware

El adware móvil genera ingresos mostrando anuncios no solicitados, redirigiendo clics publicitarios o realizando fraude publicitario en segundo plano. Aunque se percibe como una amenaza menor, el adware agresivo puede:

Consumir datos y batería de forma significativa.
Rastrear la actividad del usuario para vender datos a redes publicitarias.
Servir como dropper para instalar malware más peligroso.

Familias como HiddenAds y Adware.AndroidOS.MobiDash acumulan millones de instalaciones a través de apps de utilidad (linternas, escáneres QR, limpiadores) en Google Play Store.

Ransomware móvil

El ransomware móvil es menos destructivo que su equivalente de escritorio pero sigue presente. Las variantes más comunes bloquean la pantalla del dispositivo (screen lockers) más que cifrar archivos, ya que el cifrado completo en móviles enfrenta limitaciones por el sandbox.

Sin embargo, variantes avanzadas como DoubleLocker combinan el bloqueo de pantalla con el cifrado de archivos accesibles y el cambio del PIN del dispositivo.

Stalkerware

El stalkerware es software de vigilancia comercializado como herramientas de control parental o monitorización de empleados, pero utilizado frecuentemente para acosar a parejas o ex-parejas. Estas aplicaciones:

Se instalan con acceso físico al dispositivo.
Operan de forma oculta (sin icono visible).
Transmiten ubicación, mensajes, fotos, llamadas y actividad web a un panel remoto.

La Coalition Against Stalkerware, formada por empresas de seguridad y organizaciones civiles, trabaja activamente en la detección y eliminación de estas aplicaciones.

RATs (Remote Access Trojans)

Los RATs móviles proporcionan control remoto total del dispositivo. A diferencia de los banking trojans (enfocados en credenciales financieras), los RATs permiten al atacante operar el dispositivo como si lo tuviera en sus manos: instalar apps, exfiltrar archivos, activar cámara y micrófono, y ejecutar comandos.

Familias como SpyNote (SpyMax), AhMyth y AndroRAT se distribuyen en foros clandestinos con código fuente disponible, lo que genera variantes constantemente.

Estadísticas 2024-2026

Volumen de amenazas

Las cifras de los principales laboratorios de seguridad muestran un crecimiento sostenido:

Métrica	2024	2025	2026 (Q1-Q2)
Muestras únicas de malware Android detectadas	~3.5M	~4.8M	~2.9M (proyección 5.8M)
Apps maliciosas eliminadas de Google Play	~2.3M	~2.7M	~1.4M
Banking trojans activos (familias únicas)	18	24	27
Detecciones de spyware comercial (NSO/Cytrox/RCS)	~1.400 dispositivos	~2.100	~1.800 (parcial)
Ataques de phishing móvil (smishing)	+37% interanual	+45% interanual	+52% interanual

Distribución geográfica

Las regiones más afectadas por malware móvil en 2025-2026:

Asia-Pacífico: Mayor volumen absoluto. India, Indonesia y Vietnam concentran adware y banking trojans regionales.
Latinoamérica: Crecimiento agresivo de banking trojans (Grandoreiro móvil, Brata). Brasil como epicentro.
Europa: Objetivo principal de Xenomorph, TeaBot y Anatsa. España, Italia y Alemania entre los más afectados.
Oriente Medio y Norte de África: Mayor incidencia de spyware estatal. Pegasus documentado en múltiples países de la región.

Vectores de distribución

Smishing (SMS Phishing)

El phishing por SMS se ha convertido en el vector de distribución más efectivo para banking trojans. Los mensajes suplantan a empresas de logística (Correos, DHL, FedEx), bancos, o administraciones públicas con enlaces a APKs maliciosos o páginas de phishing.

En España, las campañas de FluBot (2021-2022) y las sucesivas oleadas de Anatsa/TeaBot (2023-2026) han utilizado este vector de forma masiva.

Dropper apps en tiendas oficiales

Las dropper apps son aplicaciones aparentemente legítimas que pasan los controles de la tienda y, una vez instaladas, descargan el payload malicioso real. Las categorías más utilizadas:

Lectores de PDF y escáneres de documentos
Aplicaciones de fitness y salud
Herramientas de productividad (grabadoras de voz, gestores de archivos)
Apps de personalización (fondos de pantalla, temas)

Google ha reforzado significativamente sus controles desde 2023, pero los droppers evolucionan: utilizan ejecución retardada (el payload se descarga días después de la instalación) y activación geográfica (solo descargan el malware en países objetivo).

Tiendas alternativas y side-loading

Las tiendas de aplicaciones alternativas y la descarga directa de APKs desde webs o mensajería representan un vector significativo, especialmente en regiones donde Google Play no tiene presencia dominante (China) o donde los usuarios buscan apps de pago gratuitas.

Redes sociales y mensajería

Campañas de distribución a través de WhatsApp, Telegram y redes sociales envían enlaces a APKs maliciosos disfrazados de actualizaciones, apps premium gratuitas o supuestas herramientas de seguridad. Los grupos de Telegram dedicados a "apps modificadas" son un vector frecuente.

Top familias de malware móvil 2025-2026

Familia	Tipo	Plataforma	Modelo	Primera aparición	Estado 2026
Vultur	Banking trojan	Android	MaaS	2021	Activo, v4+ con screen recording
Xenomorph	Banking trojan	Android	MaaS	2022	Activo, 400+ targets bancarios
Hook	Banking trojan	Android	MaaS	2023	Activo (sucesor de Ermac)
Anatsa (TeaBot)	Banking trojan	Android	MaaS	2021	Activo, foco Europa
SpyNote	RAT	Android	Open source	2016	Activo, variantes constantes
Pegasus	Spyware	Android/iOS	Venta estatal	2016	Activo, NSO Group
Predator	Spyware	Android/iOS	Venta estatal	2022	Activo (Cytrox/Intellexa)
Octo (Coper)	Banking trojan	Android	MaaS	2022	Activo, v2 con VNC
GoldDigger/GoldPickaxe	Banking trojan	Android/iOS	Operación dirigida	2023	Activo, primer trojan bancario iOS significativo
Godfather	Banking trojan	Android	MaaS	2022	Activo, 400+ targets

Tendencias emergentes

Malware potenciado con IA

En 2025-2026, los actores de amenazas han comenzado a integrar capacidades de IA en sus herramientas:

Generación de phishing contextual: LLMs generan mensajes de smishing personalizados basados en datos filtrados del objetivo, con gramática y contexto naturales que dificultan la detección humana.
Evasión adaptativa: Algunas familias usan modelos ligeros para adaptar su comportamiento al entorno de ejecución, identificando emuladores y sandboxes de forma más sofisticada.
Deepfakes para ingeniería social: Clonación de voz e imagen para campañas de vishing (voice phishing) que complementan la distribución de malware móvil.

Malware-as-a-Service (MaaS) móvil

El modelo MaaS ha democratizado el acceso a banking trojans avanzados. Un operador sin conocimientos técnicos puede:

Suscribirse a un panel (Xenomorph, Hook, Octo) por 3.000 a 7.000 USD/mes.
Configurar los targets bancarios (países e instituciones).
Recibir un APK personalizado listo para distribución.
Operar la campaña desde un panel web con estadísticas en tiempo real.

Este modelo ha provocado una proliferación de campañas: las barreras técnicas ya no son el cuello de botella. La distribución (smishing, droppers) es ahora el factor diferenciador entre operadores exitosos y fracasados.

Ataques a billeteras de criptomonedas

El auge de las criptomonedas y las billeteras móviles ha generado malware especializado:

Clippers: Modifican direcciones de billetera copiadas al portapapeles, redirigiendo las transacciones al atacante.
Overlay sobre apps crypto: Banking trojans que incluyen overlays para apps de exchanges (Binance, Coinbase, Kraken).
Seed phrase stealers: Malware que busca capturas de pantalla o notas con frases de recuperación de billeteras.

Convergencia móvil-desktop

Las amenazas móviles y de escritorio convergen cada vez más:

MFA interception: Banking trojans móviles se coordinan con malware de escritorio para interceptar el segundo factor de autenticación.
Cross-platform C2: Familias como SpyNote y AhMyth comparten infraestructura C2 con variantes de escritorio.
Device takeover post-robo: Actores que obtienen credenciales de desktop usan malware móvil para completar el acceso a cuentas bancarias.

Regulación y respuesta de la industria

Apple DMA (tiendas alternativas): La obligación de permitir tiendas alternativas en la UE introduce nuevos vectores pero también nuevos requisitos de notarización.
Google Play Protect reforzado: Escaneo en tiempo real de APKs side-loaded, detección de acceso a servicios de accesibilidad sospechosos.
Prohibición de stalkerware: Varios países han avanzado en legislación que criminaliza el uso de stalkerware. La FTC ha tomado acciones contra fabricantes en EE.UU.

Implicaciones para la defensa

Para equipos de seguridad que gestionan flotas de dispositivos móviles:

MDM obligatorio: Una solución de Mobile Device Management que aplique políticas de seguridad mínimas (cifrado, PIN, restricción de side-loading).
Detección de amenazas móviles (MTD): Soluciones como Lookout, Zimperium o CrowdStrike Falcon Mobile que detectan comportamientos maliciosos en el dispositivo.
Monitorización de permisos: Alertar sobre apps que solicitan permisos de accesibilidad, administrador de dispositivo o lectura de notificaciones.
Formación en smishing: Los usuarios son el eslabón más débil. Campañas de concienciación sobre phishing por SMS y mensajería.
Política de actualización: Definir un tiempo máximo aceptable de retraso en parches de seguridad. Dispositivos fuera de soporte deben ser reemplazados.

Recursos

Kaspersky Mobile Threats Report (informes anuales de amenazas móviles)
Zimperium Global Mobile Threat Report (informe anual con estadísticas de la industria)
MITRE ATT&CK Mobile (matriz de TTPs para plataformas móviles)
Google Transparency Report (datos de apps eliminadas de Play Store)
Coalition Against Stalkerware (recursos contra stalkerware)
Amnesty International Security Lab (investigaciones sobre spyware comercial)
Lookout Threat Lab (investigación de amenazas móviles)
MalwareIntel (plataforma de inteligencia sobre familias de malware)

Preguntas frecuentes

Libros recomendados

Mobile Malware and APTs (Ken Dunham)

Amazon (enlace afiliado)

Android Security Internals (Nikolay Elenkov)