Android vs iOS: ¿Cuál es más seguro en 2025?

¿De qué trata la discusión?

Por "protección" entenderemos tres cosas: armadura técnica (procesadores, chips, cifrado), proceso de actualizaciones (qué tan rápido tapan los agujeros) y la situación real en la calle, es decir las estadísticas de ataques, phishing y malware. Todo lo demás es marketing y peleas de fans.

La comparación de los mecanismos de protección de Android e iOS muestra que ambos sistemas cuentan con potentes medidas de seguridad, pero sus enfoques son radicalmente distintos.

La protección de Apple: un jardín cerrado con foso y cocodrilos

El principal escudo del iPhone es el Secure Enclave, un coprocesador separado que guarda la biometría, las claves de cifrado y funciona de forma independiente, sin depender del resto del sistema. En 2024 Apple actualizó la documentación: ahora Enclave corre sobre un núcleo RT propio, está aislado incluso del kernel de iOS y recibe parches fuera del ciclo habitual de actualizaciones.

Las funciones de seguridad de iOS impresionan por su complejidad: desde el cifrado por hardware hasta mecanismos avanzados de aislamiento de aplicaciones. Pero, como muestra la práctica, incluso las aplicaciones de iOS pueden contener vulnerabilidades.

El segundo nivel es Lockdown Mode. Lo activas y el smartphone se convierte en un ladrillo con función de llamadas: por defecto se bloquean vulnerabilidades en iMessage, vistas previas de sitios y cualquier adjunto. Periodistas, diplomáticos y personas muy cautelosas lo valoran especialmente.

Además, con iOS 18 Apple añadió varias pequeñas funciones: los códigos de un solo uso ahora están protegidos contra accesos por parte de las aplicaciones, Safari bloquea las huellas digitales de navegador y en Fotos se usa segmentación local por IA para que los rostros se suban a la nube ya desidentificados.

La protección de Google: garaje abierto, pero con láser y perro

Android 15 tampoco ha estado quieto. La novedad principal es Private Space: un perfil oculto que desaparece de la pantalla hasta que introduces un PIN separado. Si te roban el teléfono, solo verán fotos de gatos en la galería, no tus tokens bancarios.

En el interior del Pixel 9 trabaja el chip Titan M2: guarda las claves de cifrado por hardware, verifica las firmas del cargador de arranque y mantiene un contador anti-manipulación. Ya fue certificado según CC EAL5+.

En 2025 Google mejoró Play Protect. Ahora el escaneo con IA funciona en tiempo real: la aplicación se analiza en el dispositivo y, si el código cambia de forma inesperada (por ejemplo, se descarga una actualización no oficial), el motor ralentiza la instalación hasta una revisión.

Raíces de hardware: Secure Enclave frente a Titan M2

El iPhone guarda la clave de cifrado en Enclave y la borra tras 10 intentos fallidos. En Pixel hace lo mismo Titan M2, pero además puede coordinarse con un servidor: si alguien intenta adivinar la contraseña durante demasiado tiempo, el dispositivo puede auto-bloquearse de forma remota.

• Enclave: memoria dedicada, motor AES integrado en el silicio, intercambio dentro del dispositivo (exposición de datos nula).
• Titan M2: Cortex-M aislado con RAM propia, almacenamiento OTP y soporte de attestation: se puede enviar al servidor la prueba de que la aplicación se ejecuta en un dispositivo "limpio".

¿Cuál enfoque es mejor? Físicamente, ambos esquemas solo se han roto en laboratorios mediante costosos ataques a nivel de silicio. En el mundo real, al usuario le seguiría siendo necesario entregar el teléfono a agencias especiales antes de que el chip ceda.

Tiendas de aplicaciones: App Store frente a Google Play (y los mercados de APK en vivo)

App Store verifica cada compilación en los servidores de Apple, mantiene un conjunto estricto de API y luego vuelve a escanear al subirla a los usuarios. Google Play también escanea, pero los requisitos son más laxos y la moderación es más rápida; de ahí las noticias recurrentes sobre miles de aplicaciones infectadas en Play Store.

Hay que entenderlo: Google permite instalar APK desde cualquier sitio. Eso es libertad y problema a la vez. Los servicios para probar la seguridad de aplicaciones móviles muestran que muchos desarrolladores no prestan suficiente atención a la seguridad.

Sideloading en iOS: un saludo de la Unión Europea

Con iOS 17.4 en la UE se habilitaron los Alternative App Marketplaces. Se puede descargar la tienda Epic o Setapp, incluso a través de Safari. Apple advierte: los riesgos son mayores, pero introdujo APIs adicionales y obliga a cada plataforma a pagar un depósito por "honestidad".

Para marzo de 2025 Setapp ya había distribuido 50 aplicaciones en beta abierta, y Epic Games Store comercializa Fortnite fuera de las comisiones "de Apple". Los escépticos sostienen que esta libertad abrirá la puerta a troyanos, pero en la práctica todos los mercados alternativos siguen pasando por comprobaciones relacionadas con Apple.

La ironía: ahora iOS tiene el mismo quebradero de cabeza que Android: los usuarios deciden de dónde obtener software y, por tanto, asumen parte de los riesgos.

Actualizaciones y velocidad para parchear vulnerabilidades

Apple opera con el principio "una plataforma — un solo núcleo". En enero de 2025 iOS 18 ya estaba en el 76% de los iPhone de los últimos cuatro años.

Android 15, en mayo de 2025, llegó al 4,5% de los dispositivos. Sí: los Pixel de gama alta y algunos Samsung recientes, el resto espera la buena voluntad de los fabricantes y operadores.

Nota breve: Samsung promete hasta siete años de parches para sus buques insignia, pero los Flip 5G del año pasado ya dejaron de recibir actualizaciones.

En términos técnicos, Google intenta sortear la "fragmentación": las actualizaciones modulares de Project Mainline llegan por Google Play, incluso si el fabricante no se mueve. Pero los parches críticos del kernel siguen dependiendo de los OEM.

Incidentes de zero-day de 2024

El informe de Google Threat Intelligence contabilizó 75 vulnerabilidades zero-day explotadas en 2024, un récord en la historia. Casi la mitad atacó herramientas corporativas, pero las plataformas móviles también recibieron su parte.

El mercado de zero-day se ha convertido en una industria multimillonaria, donde una vulnerabilidad de calidad en un dispositivo móvil puede valer entre 100.000 y 2,5 millones de dólares. Un ejemplo reciente fue una masiva zero-day en WebKit que afectó a todo el ecosistema de Apple.

Un análisis detallado mostró que 33 agujeros afectaron software empresarial y siete correspondieron a los kernels de iOS y Android.

Malware, spyware y phishing: ¿a quién atacan más?

Según Kaspersky, en 2024 los dispositivos Android registraron 33,3 millones de ataques, un poco menos que el año anterior. La mayor parte fueron adware (35%), en segundo lugar los troyanos bancarios.

iOS tradicionalmente "no ve" virus en estado salvaje, pero Pegasus y sus clones demuestran que una cadena de exploits bien diseñada puede sortear todas las sandboxes. En 2024 se detectaron siete nuevos teléfonos de periodistas infectados: sigue siendo costoso y dirigido.

En cambio, el phishing cambió el campo de batalla: Lookout registró que el 26% de los usuarios de iPhone se enfrentó a ataques de phishing frente al 12% en Android. La razón es simple: los códigos por SMS y los enlaces en iMessage atacan a todos, y la audiencia de Apple usa con más frecuencia servicios premium.

En resumen: ¿a quién confiar tus memes y secretos bancarios?

• Para usuarios corrientes (redes sociales, banca, compras en línea) es más seguro iOS: menos aplicaciones maliciosas y parches rápidos.
• Para quienes prefieren libertad y personalización, Android sigue siendo la mejor plataforma, pero habrá que instalar actualizaciones manualmente y no descargar APK de fuentes dudosas.
• Para los paranoicos: un Pixel con Titan M2 más GrapheneOS o un iPhone con Lockdown Mode. La segunda opción es más sencilla, la primera ofrece mayor profundidad.
• Para empresas: implementen una solución EMM, cifren el disco y desactiven el sideloading incluso en la UE.

Cinco consejos cortos para no ser víctima de una filtración

1. Actualicen de inmediato: iOS — Ajustes → General → Actualización de software; Android — Sistema → Actualizaciones + Google Play System.
2. Instalen software solo desde tiendas oficiales. Si está en la UE y opta por una tienda alternativa, verifique su reputación.
3. Usen llaves físicas (YubiKey, Passkey) en lugar de códigos SMS.
4. Cifren las copias de seguridad: iCloud Advanced Data Protection o una copia local en Finder/Android Backup.
5. Revisionen regularmente los permisos: en iOS — Privacidad; en Android — Panel de control (desde Android 12). No teman revocar el acceso a la cámara a una calculadora.