Un grupo de aplicaciones disponibles en Google Play ofrecía supuestas herramientas para acceder a historiales de llamadas, SMS y registros de WhatsApp de cualquier número telefónico. El esquema fraudulento logró acumular más de 7,3 millones de descargas y fue utilizado para engañar y estafar a los usuarios.
Centroamérica, 19 de mayo de 2026. Hoy en día pareciera haber aplicaciones para todo; sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que consultar los registros de llamadas de cualquier número telefónico no es una de ellas. Así lo comprobaron miles de usuarios de Android tras pagar suscripciones en plataformas que prometían este servicio de forma engañosa.
Una reciente investigación de la firma de ciberseguridad identificó 28 aplicaciones fraudulentas que aseguraban ofrecer acceso a historiales de llamadas, registros de SMS e incluso logs de WhatsApp. Estas apps, disponibles en la tienda Google Play, superaron de forma acumulada los 7.3 millones de descargas.
Los expertos de la compañía denominaron a esta amenaza CallPhantom, en alusión a que la funcionalidad que ofrecen es inexistente. Para desbloquear las supuestas funciones, las plataformas solicitaban un pago; sin embargo, lo único que el usuario obtenía a cambio eran datos falsos generados aleatoriamente. Como socios de la App Defense Alliance, los investigadores reportaron el conjunto completo de hallazgos a Google el 16 de diciembre de 2025, logrando que todas las aplicaciones fueran eliminadas definitivamente de la tienda.
El análisis inicial comenzó tras examinar la aplicación Call History of Any Number. Dicha herramienta afirmaba que podía recuperar el historial de cualquier número proporcionado por el usuario y era publicada bajo el nombre de desarrollador «Indian gov.in«, a pesar de no tener ninguna asociación real con el gobierno de la India.
El equipo técnico demostró que los datos proporcionados por esta app eran completamente fabricados: el sistema generaba números de teléfono aleatorios y los combinaba con nombres, horarios y duraciones predefinidas que estaban incorporadas directamente en su código fuente. Esta información falsa se presentaba a las víctimas únicamente después de que realizaran el pago. Incluso, una captura de pantalla de estos datos fabricados se incluía en la ficha de la aplicación en Google Play como una supuesta demostración de su funcionalidad.
Con este tipo de alertas, la compañía de ciberseguridad reafirma la importancia de desconfiar de soluciones milagrosas en las tiendas de aplicaciones y verificar siempre la reputación de los desarrolladores antes de comprometer datos financieros.
A pesar de las diferencias visuales, el propósito de las aplicaciones es idéntico: generar datos de comunicaciones falsos y cobrar a las víctimas por el acceso. La tabla de la sección aplicaciones CallPhantom analizadas enumera cada aplicación junto con sus detalles clave, incluido el número de descargas.
Las aplicaciones CallPhantom identificadas estaban dirigidas principalmente a usuarios de Android en India y en la región más amplia de Asia‑Pacífico. Muchas de estas apps incluían preseleccionado el código de país +91 de India y admitían UPI, un sistema de pagos utilizado principalmente en ese país. Las aplicaciones acumulaban numerosas reseñas negativas, en las que las víctimas reportaban haber sido estafadas y no haber recibido nunca los datos prometidos.
“No está claro cómo se distribuyeron o promocionaron las aplicaciones. Presumiblemente, al aparentar ofrecer acceso a información privada, los estafadores lograron aprovechar la curiosidad de los usuarios. Combinado con algunas reseñas positivas (falsas), pudo haber parecido una oferta atractiva”, comentan desde el equipo de investigación de ESET.
En las aplicaciones de CallPhantom analizadas se observaron tres métodos de pago diferentes, de los cuales dos infringen la política de pagos de Google Play. En primer lugar, algunas aplicaciones utilizaban suscripciones a través del sistema oficial de facturación de Google Play. Este es el mecanismo exigido para las apps que ofrecen compras dentro de la aplicación, dichas compras están cubiertas por la protección de reembolso de Google.
En segundo lugar, algunas aplicaciones recurrían a pagos mediante aplicaciones de terceros compatibles con UPI. En estos casos, las apps CallPhantom incluían URLs codificadas directamente o las obtenían dinámicamente desde una base de datos en tiempo real de Firebase, lo que permitía al operador cambiar la cuenta receptora de los pagos en cualquier momento.
En tercer lugar, en algunos casos se incluían directamente formularios de pago con tarjeta dentro de las propias aplicaciones CallPhantom.
“Nuestro análisis reveló que los “resultados” mostrados a las víctimas son completamente fabricados, y que a menudo utilizan números indios codificados directamente, nombres predefinidos y marcas de tiempo generadas, presentadas como si fueran datos reales de comunicaciones. Los usuarios que se suscribieron a través del sistema oficial de facturación de Google Play pueden ser elegibles para reembolsos conforme a las políticas de reembolso de Google. Las compras realizadas mediante aplicaciones de pago de terceros o a través del ingreso directo de datos de tarjetas no pueden ser reembolsadas por Google, lo que deja a los usuarios dependientes de proveedores de pago externos o de los desarrolladores de las aplicaciones”, concluye el equipo de ESET.
