El ecosistema de malware para Android en América Latina atraviesa un momento especialmente delicado. En 2025, la combinación de móviles desactualizados, aplicaciones heredadas y canales de distribución poco confiables ha dado como resultado un entorno en el que viejos exploits y troyanos adaptados siguen teniendo mucho margen de acción.
En esta región, donde el teléfono móvil es el dispositivo principal para conectarse a Internet, conviven terminales recientes con modelos que hace tiempo dejaron de recibir parches de seguridad. Ese cóctel, sumado a la facilidad para instalar APK fuera de las tiendas oficiales y a campañas de SMS o mensajería con enlaces maliciosos, ha situado a América Latina entre las zonas con mayor actividad de código malicioso para Android, con especial incidencia en países como México y Brasil.
Un entorno ideal para el malware en Android en América Latina
Los analistas de seguridad coinciden en que la región presenta una alta fragmentación de versiones de Android, con dispositivos que van desde modelos muy nuevos hasta teléfonos que se han quedado anclados en ediciones de hace años. Esta diversidad, unida a la falta de actualizaciones en muchas marcas y gamas bajas, ofrece una superficie de ataque muy amplia para códigos maliciosos que explotan vulnerabilidades antiguas.
Según investigaciones recientes, el problema no se limita al sistema operativo: numerosas aplicaciones siguen utilizando componentes heredados, especialmente WebView mal configurados o librerías que no se han actualizado en mucho tiempo. En la práctica, esto significa que, incluso en un móvil relativamente moderno, una app desfasada puede abrir la puerta a ataques que se creían superados.
A ello se añade el peso de los canales de distribución alternativos. En América Latina continúan siendo habituales las campañas por SMS, mensajería instantánea y redes sociales que distribuyen enlaces directos para descargar APK. También es frecuente el uso de aplicaciones que prometen funciones “premium”, contenido gratuito o acceso a servicios de streaming no oficiales, muchas veces sin un mínimo de reseñas o señales de actividad legítima en las tiendas en las que se publican. Estos canales han sido aprovechados por grandes campañas como BadBox 2.0.
Este escenario facilita tanto la recirculación de familias de malware ya conocidas como la aparición constante de variantes nuevas o poco sofisticadas que, aun así, consiguen llegar a un gran número de usuarios. Así, el año 2025 ha consolidado un patrón claro: el malware que más golpea a los teléfonos Android en la región no siempre es el más innovador, sino el que mejor aprovecha las debilidades estructurales del ecosistema. En algunos casos se han observado campañas similares a ToxicPanda que combinan técnicas de phishing y distribución masiva.
En paralelo, los informes globales de ciberseguridad apuntan a un incremento sostenido de archivos maliciosos detectados a diario, con subidas en categorías como backdoors, ladrones de contraseñas y spyware. América Latina se sitúa entre las zonas con crecimientos más acusados, lo que refuerza la idea de un entorno cada vez más expuesto al cibercrimen. En esta línea, amenazas centradas en el robo de información como Spylend destacan entre las detecciones.
Exploit CVE-2012-6636: una vulnerabilidad antigua que se niega a desaparecer
Entre los códigos maliciosos que más han afectado a Android en América Latina durante 2025 destaca Trojan.Android/Exploit.CVE-2012-6636. Se trata de un exploit que se aprovecha de una vulnerabilidad conocida desde hace años, relacionada con el uso inseguro de WebView en aplicaciones compiladas con versiones anteriores a Android 4.2.
El fallo aparece cuando una app integra un WebView con configuración laxa y permite que páginas web cargadas dentro de ese componente interactúen de forma indebida con el código interno de la aplicación. En otras palabras, una web maliciosa mostrada dentro de la propia app es capaz de ejecutar acciones que no deberían estar a su alcance, lo que abre la puerta a comportamientos no autorizados.
Lo más llamativo es que este exploit sigue siendo relevante no tanto por los dispositivos antiguos, sino por la persistencia de aplicaciones que no se actualizan. Incluso en un smartphone reciente, una app que arrastra esa implementación insegura puede seguir siendo vulnerable. Esto explica que CVE-2012-6636 continúe apareciendo en campañas actuales, sobre todo cuando se distribuye empaquetado en APK que circulan fuera de los canales oficiales.
Además, la existencia de exploits públicos y módulos listos para usar en frameworks de ataque, como Metasploit, hace que este vector resulte muy asequible para actores maliciosos con pocos recursos técnicos. Informes de años anteriores ya situaban este exploit entre los más explotados en Android, y los datos de 2025 confirman que su impacto sigue siendo considerable en América Latina.
En el contexto europeo, el nivel de actualización de dispositivos y aplicaciones es, en general, más elevado, lo que reduce la prevalencia de vulnerabilidades tan antiguas. Sin embargo, la presencia de apps poco mantenidas o desarrollos internos sin auditoría puede reproducir el mismo patrón, de modo que la lección para usuarios y organizaciones de Europa es clara: ignorar las actualizaciones de software mantiene vivos fallos que deberían estar superados desde hace tiempo.
Lotoor: la familia de exploits que busca el control total del dispositivo
Otra de las amenazas que más ha golpeado a la región es Trojan.Android/Exploit.Lotoor, un conjunto de exploits de escalamiento de privilegios cuyo objetivo es obtener acceso root en dispositivos Android. Bajo esta denominación se agrupan técnicas que se aprovechan de distintas vulnerabilidades del sistema operativo, principalmente identificadas entre 2010 y 2013.
Estos exploits se centran en errores en controladores, servicios del sistema y gestión de memoria que, correctamente encadenados, permiten ejecutar código con permisos superiores a los de una aplicación normal. Aunque muchas de esas vulnerabilidades se han corregido en versiones posteriores de Android, la presencia de terminales antiguos y la falta de parches en algunos fabricantes mantienen abierta la puerta a su explotación.
En la práctica, Lotoor sigue apareciendo integrado dentro de herramientas maliciosas y paquetes de rooting que se distribuyen como utilidades legítimas, pero que esconden funciones adicionales. Una vez que consiguen privilegios de root, estos componentes pueden desinstalar soluciones de seguridad, alterar ajustes internos, instalar más malware o incluso incorporar el dispositivo a redes de ataque más amplias.
Los equipos de investigación llevan años detectando a Lotoor en posiciones destacadas dentro de las estadísticas de amenazas móviles, y 2025 no ha sido una excepción. Su resiliencia se explica por la combinación de tres factores: amplia base de dispositivos vulnerables, código ampliamente compartido en foros y repositorios y una demanda constante de herramientas de rooting por parte de usuarios que buscan personalizar al máximo sus terminales.
Para Europa y España, donde el ritmo de sustitución de dispositivos suele ser más alto y muchas marcas garantizan soporte durante más años, el impacto de este tipo de exploits es relativamente menor, pero no inexistente. La instalación de firmware modificado, ROMs no oficiales o herramientas de root descargadas desde fuentes no verificadas puede reintroducir amenazas que, sobre el papel, estaban ya mitigadas por las actualizaciones oficiales del sistema.
Pandora: el malware que convierte Android en parte de una botnet
La tercera gran familia de malware que ha sobresalido en América Latina durante 2025 es Trojan.Android/Pandora, un código malicioso asociado a una variante de Mirai adaptada al ecosistema Android. Esta amenaza se ha detectado especialmente en dispositivos como Android TV Box y sticks que se utilizan para acceder a contenido de streaming, muchas veces fuera de los canales oficiales.
El método de infección habitual pasa por aplicaciones que se presentan como plataformas de streaming funcionales, con todas las apariencias de una app legítima, pero que integran un componente oculto encargado de enrolar el dispositivo en una botnet. En algunos casos, los investigadores han llegado a encontrar firmware modificado que ya venía infectado de fábrica, lo que multiplica el alcance de esta amenaza.
Una vez instalado, Pandora establece comunicación con un servidor de comando y control (C&C), desde el que recibe órdenes para ejecutar distintas acciones. Su enfoque principal se centra en la realización de ataques distribuidos de denegación de servicio (DDoS), empleando la capacidad de procesamiento y la conectividad de miles de dispositivos comprometidos.
Este tipo de campañas resulta especialmente preocupante porque afecta a dispositivos que a menudo pasan desapercibidos para el usuario: cajas de TV, sticks y otros aparatos conectados que se dejan siempre encendidos, rara vez se actualizan y, en muchos casos, ni siquiera cuentan con una solución de seguridad instalada. Todo ello los convierte en candidatos ideales para ser reclutados por botnets.
La experiencia en América Latina sirve de aviso también para el mercado europeo, donde el uso de dispositivos IoT y aparatos de streaming es igualmente masivo. En España y otros países de la UE, el auge de televisores inteligentes, set-top boxes y dispositivos conectados de bajo coste plantea retos muy similares: muchos de estos equipos apenas reciben parches, se configuran con contraseñas débiles de fábrica y permiten la instalación de apps de origen dudoso.
Un ecosistema de amenazas en evolución constante
El repaso a las familias de malware que más han atacado a teléfonos Android en América Latina durante 2025 muestra un patrón claro: no todo se reduce a los troyanos bancarios o a las campañas más mediáticas. Si bien los códigos orientados al robo de credenciales financieras o a los préstamos fraudulentos siguen activos y apuntan a un impacto directo sobre la economía del usuario, buena parte del volumen de detecciones se concentra en exploits y troyanos que se aprovechan de la falta de actualización.
Los especialistas en ciberseguridad subrayan que las amenazas móviles combinan vectores ya consolidados —como las vulnerabilidades en componentes antiguos o las APK modificadas— con técnicas emergentes cada vez más pulidas. Se han observado ejemplos de malware capaz de aprovechar tecnologías como NFC para clonar tarjetas, así como campañas que integran funcionalidades de espionaje o robo masivo de datos.
Este contexto se ve reforzado por cifras globales que apuntan a un aumento sostenido de archivos maliciosos detectados cada día por las soluciones de seguridad, con incrementos porcentuales significativos respecto al año anterior. Categorías como los backdoors, los ladrones de contraseñas y el spyware destacan especialmente, situando a regiones como América Latina entre las más golpeadas por este tipo de amenazas. En este sentido, el funcionamiento del escaneo en tiempo real cobra especial importancia.
Al mismo tiempo, las organizaciones no escapan a esta tendencia: el uso de vulnerabilidades en software corporativo, el aprovechamiento de credenciales robadas y los ataques a la cadena de suministro —incluidos proyectos de código abierto— se han vuelto prácticas habituales entre grupos de ciberdelincuentes. Aunque esta realidad afecta de forma global, los patrones identificados en la región latinoamericana sirven como indicador temprano de tácticas que pueden extenderse a otros mercados, incluida Europa.
Todo ello dibuja un panorama en el que la línea que separa las amenazas dirigidas a usuarios finales y las que tienen como objetivo a empresas resulta cada vez más difusa. Un solo móvil Android comprometido, ya sea en América Latina o en España, puede convertirse en el punto de entrada para ataques más amplios contra redes corporativas.
Qué pueden hacer los usuarios para reducir el riesgo
Ante este escenario, las recomendaciones para reducir el impacto del malware en Android son bastante claras y se aplican tanto a América Latina como a Europa. La primera medida pasa por mantener el dispositivo lo más actualizado posible, evitando usar versiones antiguas de Android cuando exista la opción de instalar nuevas ediciones. Ignorar los parches de seguridad deja expuestas vulnerabilidades que muchos atacantes siguen aprovechando.
Otra práctica esencial es limitar la instalación de aplicaciones a tiendas oficiales y fuentes verificadas. Aunque no son infalibles, las plataformas reguladas suelen aplicar controles más estrictos que los repositorios alternativos o los enlaces directos que circulan por mensajería y redes sociales. Desconfiar de las APK que prometen funciones “premium” gratuitas, contenidos ilegales o accesos milagrosos sigue siendo una regla básica; por ejemplo, amenazas como SparkKitty suelen aprovechar este tipo de engaños.
Conviene también revisar con calma los permisos solicitados por cada aplicación, así como la actividad real del desarrollador y el volumen de reseñas auténticas antes de instalar nada. Las apps con pocas opiniones, valoraciones sospechosamente homogéneas o sin presencia clara en otros canales oficiales suelen ser una señal de alerta a la que merece la pena prestar atención. Para ello, una guía sobre permisos en Android puede ayudar a identificar abusos.
En paralelo, el uso de soluciones de seguridad especializadas para móviles permite detectar exploits, troyanos y comportamientos anómalos que podrían pasar inadvertidos para el usuario medio. Aunque no sustituyen a las buenas prácticas, actúan como una capa adicional de defensa frente a campañas masivas o infecciones silenciosas; Google y otros proveedores han introducido funciones avanzadas de detección para mejorar estas capacidades.
Por último, resulta clave evitar desactivar las protecciones integradas del sistema, como Google Play Protect o las restricciones para instalar apps de orígenes desconocidos, salvo en casos muy justificados y sabiendo exactamente qué se está haciendo. Del mismo modo, es recomendable desconfiar de mensajes, enlaces o anuncios que prometen descuentos imposibles, accesos rápidos o funciones especiales, ya que este tipo de ganchos siguen siendo una de las vías favoritas de los ciberdelincuentes; campañas como Vapor han utilizado reclamos similares.
El retrato que dejan los ataques de malware más comunes contra teléfonos Android en América Latina durante 2025 es el de un entorno donde conviven amenazas veteranas y técnicas cada vez más refinadas, apoyadas en la falta de actualización de dispositivos y aplicaciones, así como en canales de distribución poco fiables. Esta realidad, que afecta con especial fuerza a países latinoamericanos, debería servir también de aviso para usuarios y organizaciones en España y en el resto de Europa: la seguridad móvil ya no es un tema secundario, sino un elemento central de la protección digital diaria.