Desde el momento en que los primeros archivos .apk «maliciosos» se ocultaban en compilaciones pirata de Angry Birds, han pasado poco más de diez años. Hoy, en 2025, el ecosistema móvil es mucho más seguro, pero los ladrones han evolucionado: los troyanos bancarios se disfrazan de VPN, las campañas publicitarias se redactan con IA y los enlaces de phishing se enganchan a chatbots. Analizamos si realmente su teléfono inteligente necesita un antivirus, cómo funciona y qué soluciones merecen la instalación.
Amenazas móviles‑2025: estadísticas sin pánico
Según el informe reciente de Kaspersky, solo en 2024 sus productos móviles bloquearon 7,6 millones de ataques; líderes siguen siendo el adware y los troyanos clásicos, pero los troyanos bancarios se han acercado al top‑3, y la cantidad de ransomware para Android superó los mil ejemplares. Laboratorios independientes señalan que cada segunda campaña maliciosa el año pasado se distribuía fuera de Google Play — a través de canales de Telegram con aplicaciones «hackeadas» o clones de sitios oficiales.
Los troyanos bancarios — SharkBot, Drinik, Anubis y sus «familiares» — con mayor frecuencia abusan del Accessibility Service, colocando formularios falsos sobre la interfaz de su banco y robando códigos de un solo uso; muchos descargan módulos secundarios de forma dinámica tras la instalación para eludir el análisis estático de la tienda de aplicaciones. Además, en la versión actualizada del marco MITRE ATT&CK para Mobile ya se mencionan las técnicas T1407 Download New Code y T1417.002 GUI Input Capture — precisamente ellas permitieron a los malwares evadir firmas antiguas y entorpecer el funcionamiento de pasarelas SMS «parche».
Dónde atacan con mayor frecuencia
- Troyanos bancarios. Suplantan la interfaz de la aplicación del banco, interceptan SMS o códigos push.
- RiskTool & Stalkerware. Utilidades formalmente «legales», pero recaban registros de llamadas, la ubicación y los transmiten a terceros.
- Adware. Colma la pantalla de anuncios, recopila datos sobre sus hábitos y los vende a compradores en subasta.
- Ransomware. Cifra /sdcard y exige un rescate, simulando un banner de la policía de EE. UU.
«Armadura por defecto»: lo que ya existe en el sistema
Android 15 & Google Play Protect
En Android 15 funciona en segundo plano Play Protect con IA en el dispositivo, que verifica cada .apk instalado en tiempo real: el motor analiza el comportamiento, no solo la firma, y es capaz de bloquear malware que se activa horas después de la instalación. En los nuevos Pixel los espías los detecta Live Threat Detection — el sistema supervisa llamadas de API sospechosas y corta las conexiones de red al instante.
En 2025 Google trasladó el procesamiento a Private Compute Core, un bloque completamente aislado de Internet, de modo que la inteligencia artificial ve la aplicación pero no sus fotos personales. Y en marzo apareció la función de IA Scam Detection — el teléfono analiza los SMS entrantes y advierte si un enlace dirige a phishing financiero. Además Android 15 recibió Theft Detection Lock, que usa el acelerómetro y el giroscopio: al detectar un tirón «arrancado de las manos», el teléfono se bloquea de inmediato sin acceso a la red.
iOS 17 & Notarización
Apple responde con una arquitectura de «cajas de arena»: cada aplicación se aísla en su propio contenedor y, antes de publicarse, pasa una revisión automática y notarización — una especie de «sello de seguridad» del Apple Security Server.
Desde 2024 este proceso se reforzó: ahora el aprendizaje automático en el servidor detecta API destinadas a fingerprinting y la carga dinámica de código, y en la UE las tiendas alternativas también deben certificar los .ipa mediante notariado. Además, iOS ejecuta una vez al día XProtect Remediator, un módulo antimalware integrado que escanea firmas conocidas, y Rapid Security Response entrega parches críticos sin instalar una versión completa de iOS, cerrando agujeros más rápido de lo que se explotan.
Entonces, ¿es necesario un antivirus? Cinco escenarios en los que «sí»
- Instala aplicaciones desde APKMirror, Telegram y el pendrive del vecino.
- El dispositivo tiene más de 4 años y está en Android 12 o inferior. El fabricante lleva tiempo sin publicar parches.
- El teléfono está rooteado o tiene el bootloader desbloqueado. El sandbox ya no le salvará.
- Trabaja con políticas MDM corporativas. El cumplimiento requiere un agente adicional con informes a la SIEM.
- En el teléfono hay claves bancarias, monederos de criptomonedas o tarjetas NFC. El coste del riesgo supera la suscripción anual.
En todos los demás casos (Google Play limpio, actualizaciones regulares, renuncia a privilegios root) es posible confiar en las herramientas integradas y en la higiene digital.
Limitaciones de los defensores móviles: saber para no decepcionarse
El antivirus en el smartphone actúa con menos alcance que en el PC: no puede leer la memoria de otras aplicaciones, y escanea el .apk como un archivo, detectando malware por comportamiento, permisos y ofuscación. En iOS, debido al aislamiento estricto, el «escáner» solo supervisa el tráfico de Safari y sustituye DNS para detener el phishing — las firmas de virus allí simplemente no tienen dónde aplicarse.
Es importante recordar: Android no permite que dos servicios de Accessibility funcionen en paralelo, por lo que al instalar dos antivirus simultáneamente entran en conflicto — gana el último activado. Y cualquier VPN incluida en un antivirus canaliza la pila de red a través de su propio interfaz TUN, lo que puede romper configuraciones corporativas de split‑tunnel.
Qué debe saber hacer un buen antivirus móvil en 2025
- Comprobación instantánea del paquete instalador mediante la nube y un motor local de IA.
- Filtro de URL + antiphishing por SMS. Supervisa redirecciones en el navegador y verifica enlaces cortos en mensajes.
- Anti‑Theft. Bloqueo remoto, borrado y foto con la cámara frontal al cambiar la SIM.
- App Lock. Solicita PIN o Face ID para abrir aplicaciones sensibles.
- Privacy Advisor. Muestra qué aplicaciones acceden a contactos, ubicación y cámara.
Quién está en la cima de pruebas independientes: ranking AV‑TEST marzo 2025
| Producto | Protección (0‑6) | Rendimiento (0‑6) | Usabilidad (0‑6) |
|---|---|---|---|
| Bitdefender Mobile Security | 6 | 6 | 6 |
| Kaspersky Standard | 6 | 5,5 | 6 |
| Norton 360 App Security | 6 | 5,5 | 5,5 |
| ESET Mobile Security | 5,5 | 6 | 6 |
| Avira Security | 5,5 | 5,5 | 6 |
AV‑TEST evalúa productos móviles con muestras «vivas»: 3600 muestras de malware recogidas en las últimas cuatro semanas, más un paquete de 10 000 .apk benignos para comprobar falsos positivos. La puntuación final se compone de protección, impacto en la velocidad y facilidad de uso. Solo cinco soluciones alcanzaron 17,5–18 de 18 puntos.
Mejores soluciones para Android: breve análisis
Bitdefender Mobile Security
Cliente ligero (30 MB), verificación en la nube sin motor permanente, Scam Alert integrado para filtrar llamadas y auditoría de permisos. La nueva versión añadió Adaptive Protection, que activa temporalmente la VPN si una aplicación solicita API bancarias.
Kaspersky Standard
Protección comportamental fuerte y filtrado web, protección anti‑estadística de la cámara e integración con Kaspersky Password Manager. El nuevo módulo Call Screen bloquea llamadas robotizadas, y Security Network compartió para clientes móviles una sandbox que analiza un .apk sospechoso en la nube en 5 segundos.
Norton 360 App Security
Detecta «permisos agresivos» antes de instalar el .apk, y la VPN integrada se activa en redes Wi‑Fi abiertas. Además ahora incluye Dark Web Monitor, que avisa si su correo electrónico aparece en una filtración de datos.
¿Y en iOS? VPN + antiphishing en lugar de un escáner
Por la arquitectura de iOS conviene usar aplicaciones complementarias: Avira Mobile Security (filtro antiphishing + Network Protection), Malwarebytes Mobile (bloqueo de llamadas spam) y Norton Mobile (monitorización del dark web). No buscan virus en archivos, pero detectan dominios peligrosos y fugas de credenciales.
El año pasado Apple lanzó Private Relay — su versión de DNS cifrado over‑HTTPS para Safari, y en iOS 17 se introdujo «Lockdown Mode», que desactiva JIT, reduce la superficie de WebKit y bloquea perfiles MDM anidados; a los antivirus móviles les queda cubrir la ingeniería social.
Gratis o suscripción: ¿dónde está la trampa?
Las versiones gratuitas limitan el escáner de IA y el filtro antiphishing, y muestran anuncios con mensajes de «la suscripción caduca pronto». Los planes de pago añaden VPN con tráfico de 300–500 MB/día y Dark Web Monitoring. Si el teléfono es su oficina bancaria, asegurar su uso por 30 dólares al año tiene sentido.
Cinco hábitos que cuestan menos que un antivirus
- Instale aplicaciones solo desde Google Play o App Store.
- Actualice el sistema operativo y las aplicaciones por Wi‑Fi inmediatamente tras su lanzamiento.
- No otorgue permisos de «SMS & Accessibility» a mods de launchers.
- Cierre ADB y la depuración por USB si no es desarrollador.
- No pulse «Abrir» en un .apk recibido por Bluetooth o AirDrop.
FAQ — respuestas breves a debates largos
¿Se puede infectar un iPhone sin jailbreak?
Teóricamente: solo mediante cadenas complejas de 0‑day. Los virus masivos no llegan al App Store.
¿Afectará el antivirus a la batería?
Los productos top consumen entre un 1 y un 2 % al día; la detección en la nube funciona en picos y en reposo se minimiza.
¿Necesito antivirus si instalo .apk desde F‑Droid?
F‑Droid firma las compilaciones, pero nada impide descargar una falsificación. Un escáner no está de más.
¿Puede Play Protect sustituir a un antivirus de terceros?
En la mayoría de los casos: sí, pero no ofrecerá VPN, Anti‑Theft ni filtro de tráfico.
¿Se pueden usar dos antivirus al mismo tiempo?
No, Android no permitirá que dos servicios de Accessibility funcionen juntos — se producirá un conflicto.
Resultado. El antivirus móvil no es una bala de plata, sino una capa adicional en la defensa por capas. Si instala activamente .apk de terceros, usa un Android antiguo o trabaja con criptomonedas, la suscripción se amortiza. En los demás casos bastan las herramientas del sistema más disciplina digital. Como en el mundo de los grandes sistemas operativos, el módulo más vulnerable es el dedo que pulsa «Sí, acepto».
