Blog
Privacidad·5 de julio de 2026·7 min de lectura

El espía más probable de tu teléfono no es un hacker. Es alguien que conoce tu código de desbloqueo.

Imaginamos hackers al otro lado del mundo y virus sofisticados. La realidad es más mundana, y más inquietante: la mayoría del software espía se instala en unos minutos, por alguien cercano que conoce el código de desbloqueo. Cómo funciona, cómo detectarlo — y qué no hacer.

ME
Mohamed ESSID
Fundador — Trasimène

Software espía que se compra por suscripción

La palabra «stalkerware» designa una familia de programas de apariencia totalmente corriente: aplicaciones comerciales, vendidas por suscripción, a menudo presentadas como «control parental» o «supervisión de empleados». Una tarjeta bancaria, entre diez y cuarenta euros al mes, y cualquiera obtiene un panel en línea que muestra la vida de un teléfono: mensajes, ubicación GPS continua, fotos, historial de navegación, registro de llamadas. Algunos pueden incluso activar el micrófono.

No hay ninguna proeza técnica de por medio. Ningún exploit secreto, ni una sola línea de código que escribir. El producto está diseñado para que lo instale alguien sin ningún conocimiento, en unos minutos, en un teléfono que tiene entre las manos. Una vez instalada, la app mantiene un perfil bajo: sin icono, un nombre de proceso anodino, nada en pantalla.

La magnitud del fenómeno es difícil de medir con precisión: se trata de software construido para no ser visto. Las cifras disponibles son un suelo, no un techo: un solo fabricante de antivirus lo detecta cada año en decenas de miles de teléfonos en todo el mundo, y la Coalition Against Stalkerware, que agrupa a unas cuarenta organizaciones, informa de que el fenómeno no retrocede. Y eso solo cuenta los dispositivos que llevan una app de seguridad: el resto no aparece nunca en ninguna estadística.

¿Quién instala estas aplicaciones? Una pareja, un ex, un padre que se extralimita, a veces un empleador. Seamos claros en una cosa: en la mayoría de los países, instalar software de vigilancia en el teléfono de otro adulto sin su consentimiento es un delito, sea cual sea la relación entre las dos personas.

Cinco minutos de acceso físico hacen más daño que cualquier virus

Esta es la idea que nos gustaría que te llevaras, porque invierte la imagen habitual de la amenaza. Hackear un teléfono a distancia, sin ninguna interacción de la víctima, es extraordinariamente difícil: los exploits que lo permiten se venden por millones y se emplean en el espionaje de Estado, no para vigilar a un particular. El camino realista es mucho más corto: conocer tu código de desbloqueo y quedarse a solas con tu teléfono durante cinco minutos.

En Android, la instalación es directa: activar los «orígenes desconocidos», instalar la app, concederle permisos potentes (accesibilidad, administración del dispositivo), ocultar el icono. En un iPhone, instalar una app espía es considerablemente más difícil, así que la vigilancia suele tomar otro camino: las credenciales de la cuenta de Apple. Quien las conoce puede leer las copias de seguridad, la ubicación, las fotos, sin instalar absolutamente nada.

La consecuencia práctica es sencilla, y no cuesta nada: tu código de desbloqueo es el primer cerrojo de tu vida digital. Un código compartido «por confianza», una fecha de nacimiento, el mismo código durante años — ahí es donde empieza todo. Cambiarlo, y guardártelo para ti, vuelve a ser un hábito básico de seguridad. Igual que no dejar el teléfono desbloqueado a la vista de cualquiera.

Las señales reales — y las falsas

Despejemos primero las señales falsas, porque alimentan preocupaciones inútiles: una batería que se calienta, un teléfono que se ralentiza, un consumo de datos que fluctúa. Estos síntomas tienen mil causas inocentes: una app mal programada, una batería envejecida, una actualización reciente. El software de vigilancia moderno está diseñado precisamente para no delatarse de esa manera.

Las señales que de verdad merecen tu atención están en otra parte. La primera no es técnica en absoluto: alguien de tu entorno sabe cosas que no debería saber — dónde estuviste, qué escribiste, con quién hablaste. Esa señal, repetida, vale más que cualquier síntoma de batería.

En el propio teléfono, busca lo estructural: una app que no reconoces con permisos desproporcionados (accesibilidad, administrador del dispositivo), la opción de «orígenes desconocidos» activada en Android sin que recuerdes haberlo hecho, un dispositivo desconocido con sesión iniciada en tu cuenta de Google o de Apple, un uso compartido de la ubicación que nunca configuraste. Estas comprobaciones están en los ajustes, llevan unos minutos y no requieren ningún conocimiento especial.

Qué hacer — y qué no hacer

Un reflejo comprensible es borrar la app de inmediato. A veces es un error: la mayoría de estos programas avisa a la persona que los instaló en cuanto dejan de transmitir. Si esa persona forma parte de tu día a día y la situación te preocupa, una eliminación brusca puede empeorar las cosas. En ese caso, documenta primero (capturas de pantalla, fechas) y busca apoyo: el sitio web de la Coalition Against Stalkerware, stopstalkerware.org, recoge organizaciones de ayuda país por país.

Si decides actuar, procede por orden:

  • Cambia tu código de desbloqueo — ni una fecha de nacimiento, ni un código que alguien cercano ya conozca.
  • Desde otro dispositivo (el teléfono de un amigo, un ordenador de confianza), cambia la contraseña de tu correo electrónico y, después, la de tu cuenta de Google o de Apple.
  • Revisa los dispositivos y las sesiones con acceso a esas cuentas, y elimina todo lo que no reconozcas.
  • Activa la autenticación en dos pasos en tu correo y en tu cuenta principal.
  • Como último recurso, un restablecimiento de fábrica elimina prácticamente todo este software — siempre que después configures el teléfono con contraseñas nuevas, y no desde una copia de seguridad comprometida.

Lo que hace Trasimène

La supervisión de aplicaciones de Trasimène compara de forma continua las apps instaladas con listas de software de vigilancia conocido, actualizadas desde el servidor, y señala las combinaciones de permisos delatoras: una app invisible que combina accesibilidad, arranque automático y actividad permanente en segundo plano casi nunca tiene una razón legítima de existir.

Seamos honestos sobre los límites, porque esa es toda la razón de ser de este blog: ninguna app de seguridad lo ve todo. La vigilancia que pasa por las credenciales de la cuenta de Apple o de Google no toca nunca el teléfono: aparece en los ajustes de la cuenta, no en un análisis. Por eso este artículo te ha guiado por las dos comprobaciones, y no solo por la que nosotros automatizamos.

El principio que conviene recordar: cinco minutos de acceso físico a un teléfono desbloqueado pesan más que todos los virus de los que te han advertido alguna vez. Tu código de desbloqueo es tu primer cerrojo — elígelo bien y guárdatelo.

No hay motivo para vivir en la paranoia: la vigilancia que describe este artículo no cae del cielo, viene de cerca, y se previene con hábitos sencillos — un código solo tuyo, una cuenta bien protegida, un vistazo de vez en cuando a tus permisos. Si algún día la parte técnica no basta, porque la situación va más allá del teléfono, en la mayoría de los países existen organizaciones que pueden ayudar. Las comprobaciones en sí llevan diez minutos. Merece la pena hacerlas una vez — y repetirlas de vez en cuando.

Trasimène — Seguridad móvil

Revisa las apps de tu teléfono

Descargar Trasimène →
Volver al blog