- Keenadu puede venir preinstalado en el firmware de algunos dispositivos Android, infectando el móvil antes de estrenarlo.
- El malware se usa sobre todo para fraude publicitario, aunque algunas variantes dan control casi total del dispositivo.
- Se ha detectado integrado en apps del sistema y en aplicaciones de Google Play relacionadas con cámaras inteligentes.
- Los expertos aconsejan comprar solo en canales oficiales, actualizar el sistema y usar soluciones de seguridad móvil.
Un nuevo software malicioso, bautizado como Keenadu, ha puesto bajo sospecha a miles de teléfonos Android en todo el mundo. La amenaza preocupa especialmente porque puede colarse en el dispositivo mucho antes de que el usuario lo saque de la caja, aprovechando puntos débiles en la cadena de fabricación y distribución.
Las investigaciones realizadas por especialistas en ciberseguridad apuntan a que Keenadu ya ha afectado a más de 13.000 dispositivos a nivel global hasta febrero de 2026, con una incidencia notable en América Latina. Aunque los datos públicos detallan sobre todo el impacto en países como Brasil, este tipo de campañas suele extenderse con facilidad a otras regiones, por lo que el riesgo también es relevante para usuarios de España y del resto de Europa.
Qué es Keenadu y por qué es tan preocupante
Keenadu es un malware diseñado para Android que se caracteriza por su flexibilidad y por la profundidad del acceso que puede obtener en el sistema. Su uso principal se centra en el fraude publicitario: los atacantes emplean los dispositivos infectados para generar clics falsos en anuncios, ganar dinero de forma ilícita y consumir recursos del terminal sin que el dueño lo advierta.
Sin embargo, algunas variantes de Keenadu van bastante más allá de mostrar o pulsar anuncios de forma oculta. En sus formas más avanzadas, el malware puede tomar el control casi total del dispositivo, modificar aplicaciones ya instaladas, descargar otras nuevas sin permiso e incluso otorgarles todos los permisos necesarios para operar sin restricciones.
Este control tan amplio implica que los atacantes pueden acceder a información muy sensible. En un móvil actual se almacena prácticamente toda la vida digital del usuario: desde archivos personales y fotos hasta conversaciones, credenciales bancarias, datos de localización y hábitos de navegación. Que un software malicioso pueda manejar todo esto desde dentro del sistema lo convierte en una amenaza especialmente delicada.
Los expertos alertan además de que este tipo de campañas erosiona una de las pocas certezas que le quedaban al usuario medio: la idea de que un terminal nuevo sale de fábrica limpio. Si el dispositivo llega infectado desde el propio proveedor o fabricante, las buenas prácticas habituales (descargar solo desde fuentes fiables, no abrir adjuntos sospechosos, etc.) dejan de ser suficientes para contener el problema.
Keenadu preinstalado en el firmware del dispositivo
Uno de los aspectos más inquietantes de Keenadu es que, en algunos casos, se ha integrado directamente en el firmware del dispositivo, es decir, en el sistema interno que controla el funcionamiento básico del teléfono. Esto sitúa a Keenadu en la misma liga que otros backdoors conocidos que se han encontrado embebidos en equipos durante el proceso de fabricación o distribución.
Cuando el malware se incorpora a esta capa tan profunda, el móvil puede estar comprometido desde el primer segundo. Ni restaurar los ajustes de fábrica ni borrar todos los datos del usuario solucionan el problema, porque la puerta trasera permanece en el propio sistema. En esta posición, Keenadu tiene capacidades de sobra para manipular casi cualquier componente del software.
Entre las acciones posibles en este escenario se encuentra la modificación de aplicaciones existentes, la instalación silenciosa de nuevas apps y la concesión automática de permisos a esos programas maliciosos. Así, los ciberdelincuentes pueden acceder de forma encubierta a los servicios que más interesan desde el punto de vista económico o de espionaje.
La información que queda expuesta no se limita solo a correos electrónicos o documentos: también se ven afectados los mensajes, el historial de ubicaciones, los datos de acceso a la banca online y cualquier otro contenido que el usuario maneje habitualmente en su smartphone. En algunos análisis se ha observado incluso que Keenadu monitoriza las búsquedas realizadas en Chrome, incluyendo aquellas que se hacen en modo incógnito, lo que desmonta la falsa sensación de privacidad de esa función.
El comportamiento del malware varía en función de ciertas condiciones del dispositivo, lo que revela que está programado con estrategias para pasar desapercibido. Por ejemplo, se ha observado que Keenadu no se activa si el idioma del sistema está configurado en determinados dialectos chinos o si la zona horaria corresponde a China. Este tipo de filtros sugiere que los atacantes pretenden evitar ciertos territorios, quizá para eludir controles legales o técnicos específicos.
Del mismo modo, el código malicioso ha demostrado ser selectivo respecto a la presencia de los servicios de Google. Si el terminal no dispone de Google Play Store ni Google Play Services, algunas variantes de Keenadu optan por no ejecutarse. Esto encaja con su enfoque en el fraude publicitario y con la necesidad de operar en entornos donde la plataforma de Google tiene un papel central.
Infección a través de aplicaciones del sistema
No todas las variantes de Keenadu se ocultan en el firmware; algunas se integran en aplicaciones del sistema que vienen preinstaladas en el dispositivo y cuentan con permisos elevados. Aunque en este caso su capacidad de propagación es algo más limitada, el riesgo continúa siendo considerable.
En esta modalidad, el malware no tiene la misma libertad para infectar cualquier aplicación del teléfono, pero el hecho de alojarse en una app con privilegios elevados le permite, por ejemplo, instalar otras aplicaciones sin avisar al usuario. De esta forma, se va creando una red de componentes maliciosos que colaboran entre sí para explotar el dispositivo.
Los análisis de los investigadores apuntan a que Keenadu ha aparecido incrustado en una aplicación de sistema encargada del . Esto abre un frente especialmente sensible, ya que podría permitir el acceso no autorizado a datos biométricos del usuario, un tipo de información que, a diferencia de una contraseña, no se puede cambiar si se ve comprometida.
En otros modelos afectados, el malware se ha encontrado escondido en la aplicación de pantalla de inicio, es decir, la capa que gestiona el escritorio, los iconos y el acceso a las aplicaciones. Desde esta posición, Keenadu puede observar buena parte de la actividad cotidiana del usuario y desplegar funcionalidades adicionales sin levantar sospechas, ya que se camufla como un componente esencial del sistema.
Aplicaciones de Google Play y otras tiendas Android
Además de las infecciones a nivel de sistema, se han identificado casos en los que Keenadu se distribuía a través de aplicaciones disponibles en Google Play y en otras tiendas para Android. Una de las campañas detectadas afectó a apps destinadas al control de cámaras inteligentes para el hogar, que acumulaban más de 300.000 descargas antes de ser retiradas.
Este tipo de aplicaciones prometían gestionar cámaras domésticas, pero una vez instaladas podían abrir páginas web en segundo plano sin conocimiento del usuario. Desde esas páginas, los atacantes generaban clics falsos en anuncios y realizaban actividades encubiertas que consumían datos, batería y recursos del terminal.
Situaciones similares ya habían sido vistas en apps distribuidas fuera de las tiendas oficiales, pero la presencia de un malware tan versátil en plataformas consideradas de confianza como Google Play pone de manifiesto que ningún repositorio es completamente infalible. Los filtros automáticos de las tiendas dificultan la vida a los ciberdelincuentes, pero estos buscan nuevas formas de ocultar el código malicioso dentro de funciones aparentemente legítimas.
Para los usuarios europeos, donde el uso de cámaras inteligentes y otros dispositivos conectados en el hogar está en pleno auge, este escenario es especialmente incómodo. Una app pensada para vigilar la casa o consultar una cámara de bebé puede terminar convirtiéndose en un punto de entrada para fraude publicitario a gran escala y para el seguimiento silencioso de la actividad del dispositivo.
La rápida retirada de las aplicaciones afectadas de Google Play demuestra que, una vez detectada la amenaza, las plataformas reaccionan. No obstante, el hecho de que hayan acumulado cientos de miles de descargas antes de ser eliminadas sugiere que el daño ya estaba hecho para un número significativo de usuarios.
Impacto global y riesgo para usuarios en España y Europa
Según los datos recopilados por soluciones de seguridad móvil, más de 13.000 dispositivos Android han sido identificados como infectados por Keenadu hasta febrero de 2026. La mayor concentración de casos se ha observado en América Latina, con Brasil a la cabeza, pero la naturaleza del ecosistema Android hace que las fronteras geográficas sean relativas.
Muchos fabricantes que venden en Latinoamérica también comercializan modelos similares o idénticos en mercados europeos, ya sea bajo la misma marca o con ligeras variaciones. Por tanto, aunque una campaña de malware se detecte inicialmente en una región concreta, es habitual que con el tiempo se observen casos en otros países donde circulan los mismos terminales o se descargan las mismas aplicaciones.
En Europa, y concretamente en España, el auge de los móviles de gama media y baja procedentes de fabricantes menos conocidos incrementa el riesgo de exposición si la cadena de suministro no está bien controlada. Cuando la prioridad absoluta es ajustar costes, la seguridad del firmware y la revisión de las apps preinstaladas puede quedar en segundo plano.
El impacto de Keenadu no se limita a un número de dispositivos infectados. Está en juego la confianza en el ecosistema Android y en los acuerdos entre fabricantes, distribuidores y desarrolladores de software. Si un usuario no puede fiarse de que el teléfono nuevo que compra en tienda venga limpio, la relación entre consumidor y tecnología se resiente.
Los analistas insisten en que no se trata solo de un problema aislado, sino de un síntoma de un desafío estructural: toda la cadena de suministro tecnológica debe reforzar sus controles para evitar que se manipule el software antes de llegar al mercado. Esto implica auditorías más exigentes, validaciones de firmware y, en algunos casos, replantear acuerdos con terceros que participan en el proceso de personalización de los dispositivos.
Recomendaciones para proteger tu móvil Android
Ante un escenario en el que un dispositivo puede venir comprometido de fábrica o infectarse a través de apps aparentemente fiables, la protección del usuario final pasa por combinar hábitos prudentes y herramientas de seguridad. Aunque no existe una receta infalible, sí hay medidas que reducen de forma significativa el riesgo.
La primera recomendación es prestar atención al origen del dispositivo. Siempre que sea posible, conviene comprar móviles en tiendas oficiales o en distribuidores autorizados, evitando canales de procedencia dudosa, importaciones grises o terminales extremadamente baratos sin información clara sobre su fabricante y soporte.
También resulta clave mantener tanto el sistema operativo como las aplicaciones siempre actualizados. Muchas actualizaciones incluyen parches que corrigen vulnerabilidades que pueden ser aprovechadas por amenazas como Keenadu. Ignorar estos avisos por comodidad o falta de tiempo deja la puerta abierta a que el malware explote fallos ya conocidos.
Otra capa importante de defensa es contar con una solución de seguridad móvil de confianza. Las herramientas de protección para Android permiten detectar comportamientos sospechosos, bloquear apps maliciosas y hacer análisis periódicos en busca de amenazas ocultas, incluso cuando operan en segundo plano y tratan de mimetizarse con el resto del sistema.
Además, es recomendable revisar con cierto espíritu crítico los permisos solicitados por las aplicaciones, especialmente aquellas que provienen de desarrolladores poco conocidos o que apenas tienen reseñas. Si una app de linterna pide acceso a la cámara, al micrófono y a la ubicación en todo momento, por ejemplo, quizá no sea buena idea mantenerla instalada.
También conviene vigilar el comportamiento general del dispositivo: un aumento repentino del consumo de datos, la batería que se agota de forma anómala o el móvil que se calienta sin motivo aparente pueden ser pistas de que algo se ejecuta en segundo plano sin tu conocimiento, incluida la posibilidad de una infección por malware.
En conjunto, lo sucedido con Keenadu refleja hasta qué punto un teléfono inteligente puede convertirse en un objetivo valioso para los ciberdelincuentes. Entre el fraude publicitario silencioso, el acceso profundo al sistema y la manipulación del firmware o de las apps del sistema, el margen para el abuso es amplio. Por eso, elegir bien el dispositivo, mantenerse al día con las actualizaciones y apoyarse en soluciones de seguridad especializadas se ha vuelto casi tan importante como mirar la cámara o la capacidad de almacenamiento al comprar un nuevo móvil Android.
