Permisos en Android: guía para revisar ubicación, micrófono y cámara y evitar abusos

  • Los permisos en Android controlan el acceso de las apps a datos sensibles como cámara, micrófono, ubicación, SMS o contactos, y su gestión correcta es clave para la privacidad.
  • Accesibilidad, lectura de SMS, acceso a notificaciones y superposición de apps son los permisos más críticos y habituales en campañas de malware y fraudes bancarios.
  • Android ofrece herramientas como Gestor de permisos, Panel de privacidad e inactivación automática de apps para revisar, limitar y revocar accesos de forma sencilla.
  • Combinar una revisión periódica de permisos con el uso de apps confiables y, si se desea, una solución de seguridad adicional reduce drásticamente el riesgo de abusos.
Lorena Figueredo

14 minutos

Permisos en Android

Hoy en día llevamos el móvil a todas partes y lo usamos para casi todo, pero pocas veces nos paramos a pensar en qué están haciendo exactamente las apps con nuestros datos. Cada vez que instalas una aplicación en Android, aceptas una serie de permisos que pueden abrirle la puerta a tu cámara, micrófono, ubicación, SMS, contactos y mucho más.

El problema llega cuando vamos dando a “Permitir” a toda prisa sin pararnos a leer. Esa costumbre tan extendida puede acabar en fugas de información personal, malware bancario o aplicaciones que te espían en segundo plano. La buena noticia es que Android ofrece muchas herramientas para revisar, limitar y controlar esos permisos si sabes dónde tocar.

El problema llega cuando vamos dando a “Permitir” a toda prisa sin pararnos a leer. Esa costumbre tan extendida puede acabar en fugas de información personal, malware bancario o aplicaciones que te espían en segundo plano. La buena noticia es que Android ofrece muchas herramientas para revisar permisos, limitar y controlar esos permisos si sabes dónde tocar.

Qué son los permisos en Android y por qué importan tanto

En Android, los permisos son autorizaciones explícitas que una aplicación necesita para acceder a funciones o datos sensibles del dispositivo. Sin ese permiso, la app no puede consultar tus contactos, usar la cámara, leer tus SMS ni registrar tu ubicación exacta.

Cuando instalas o abres por primera vez una app que necesita algo delicado, el sistema muestra un cuadro emergente pidiéndote permiso. Puedes aceptar, denegar o, en versiones modernas, permitir solo mientras usas la aplicación. Si deniegas el permiso, esa parte concreta de la app no funcionará (por ejemplo, no podrás hacer fotos con una app de cámara).

Android clasifica los permisos en dos grandes grupos: por un lado los llamados permisos “normales”, que apenas suponen riesgo (como acceso a Internet o vibración), y por otro los permisos “peligrosos”, que sí afectan a la privacidad y seguridad (cámara, micrófono, SMS, contactos, ubicación, etc.). Estos últimos son los que hay que vigilar con lupa.

Además, desde Android 6 y, sobre todo, en las versiones recientes, el sistema usa un modelo más granular. Eso significa que puedes conceder un permiso solo cuando la app está en uso, revocarlo más tarde o incluso hacer que caduque solo si dejas de usar la aplicación durante meses. Todo esto está pensado para que tengas más control… siempre y cuando lo aproveches.

Tipos de permisos de Android y qué permite cada uno

Permisos en Android cómo revisarlos y evitar abusos

Cuando revisas los permisos en Ajustes, verás una lista de categorías que puedes abrir para ver qué datos concretos cede tu móvil a cada aplicación. Estos son los más habituales y lo que realmente significan:

Calendario: permite que las apps consulten, creen, modifiquen o borren tus eventos. Una app de agenda o una red social puede necesitarlo para añadir citas, pero una linterna no tiene ninguna justificación para pedirlo.

Contactos: da acceso completo a la lista de contactos del teléfono y, a menudo, a las cuentas asociadas (por ejemplo, redes sociales). Una app de mensajería lo usa para mostrarte quién está disponible, pero una app irrelevante que quiera leer tus contactos es un foco claro de riesgo.

Registros de llamadas y Teléfono: permite leer y escribir el historial de llamadas, ver quién te llama, hacer y gestionar llamadas, desviar números, etc. Es un permiso muy sensible porque expone tu actividad telefónica y puede generar llamadas no deseadas, incluso a números de pago.

SMS: autoriza a leer, recibir y enviar mensajes de texto, así como mensajes MMS o WAP push. Si lo coge una app maliciosa, puede interceptar códigos de verificación, suscribirte a servicios premium o lanzar campañas de spam desde tu número.

Cámara: ofrece acceso directo para hacer fotos y grabar vídeo. Es necesario para apps de fotografía, videollamadas o escáneres de documentos, pero en manos de malware puede activar la cámara sin que te enteres.

Micrófono: permite grabar audio. Se utiliza en apps de videollamadas, notas de voz, asistentes virtuales o reconocimiento de música, aunque también puede servir para escuchas encubiertas si lo concede a quien no debe.

Ubicación: da acceso a tu posición aproximada (WiFi y antenas) o precisa (GPS). Es vital para mapas, transporte o climatología, pero también puede perfilar todas tus rutinas diarias y saber dónde vives, trabajas o a qué sitios sueles ir.

Archivos / Almacenamiento / Fotos y vídeos / Música y audio: permite leer y escribir en la memoria interna o tarjeta SD, así como acceder a fotos, vídeos o audios. Es lógico en apps de galería, editores o reproductores, pero otorga una ventana enorme a tu vida privada si la app no es de confianza.

Dispositivos cercanos: sirve para buscar, conectarse y posicionar dispositivos próximos (Bluetooth, accesorios, etc.). Muy útil para auriculares, relojes o pulseras, aunque conviene limitarlo a apps que realmente lo necesiten.

Notificaciones: autoriza a leer el contenido de las notificaciones del sistema. Con él, una app puede ver qué mensajes recibes, incluidos códigos de verificación, avisos bancarios o información privada de otras aplicaciones.

Actividad física / Sensores corporales: ofrece acceso a datos como pasos, ritmo cardiaco o actividad deportiva. Suele ser imprescindible para apps de salud, pero también puede usarse para crear un perfil muy detallado de tus hábitos.

Los tres permisos estrella del malware (y un invitado extra muy peligroso)

Permisos peligrosos Android

En Android hay muchísimos permisos delicados, pero la experiencia con malware y estafas demuestra que hay tres que destacan por encima del resto: accesibilidad, lectura de SMS y acceso a notificaciones. A estos se suma un permiso “extra” que, bien usado, también da mucho juego a los atacantes: la superposición de apps.

Permiso de accesibilidad

El servicio de accesibilidad se diseñó originalmente para facilitar el uso del móvil a personas con dificultades de visión, motricidad o similares. Sin embargo, dicho permiso permite que una app observe lo que haces, pulse botones por ti, lea el contenido de la pantalla y automatice acciones en tu nombre.

Google ha ido cerrando el grifo con los años, endureciendo las normas para este tipo de servicios, pero aun así sigue siendo una puerta enorme. Si una aplicación cualquiera te pide acceso de accesibilidad sin una razón clarísima, desconfía. Muchas familias de malware lo usan precisamente para tomar el control silencioso del dispositivo.

Acceso a las notificaciones

El permiso de acceso a notificaciones permite que una app lea, gestione y en algunos casos interactúe con las notificaciones que aparecen en tu barra de estado. Eso incluye mensajes de bancos, códigos de un solo uso, avisos de correo electrónico y prácticamente cualquier cosa que te llegue.

Los troyanos bancarios y otros malware modernos abusan de este permiso para capturar códigos de verificación en dos pasos (2FA) y completarlos en segundo plano. Mientras tú ves un SMS o un aviso de tu banco, la app maliciosa ya ha copiado el código y lo está pegando en un formulario oculto.

Lectura de SMS

El acceso a SMS cumple un papel parecido al permiso de notificaciones, pero atacando directamente los mensajes de texto. Como muchos bancos y servicios todavía envían códigos por SMS, una app que pueda leerlos tiene vía libre para autorizar operaciones sin que lo notes.

Google, consciente del problema, creó APIs específicas para limitar qué apps pueden solicitar este permiso, de forma que solo aplicaciones de SMS o verificadores muy concretos puedan usarlo. Aun así, en móviles antiguos o apps instaladas fuera de Google Play todavía se ven abusos de este tipo.

Superposición de aplicaciones (mostrar sobre otras apps)

La superposición permite que una app ponga una ventana flotante por encima de cualquier otra aplicación. Es lo que usan, por ejemplo, burbujas de chat, iconos flotantes o herramientas de accesibilidad. Hasta aquí, todo bien.

El problema llega cuando una aplicación maliciosa usa esa superposición para colocar una capa transparente sobre el teclado o formularios sensibles. De ese modo, puede registrar lo que tecleas, robar contraseñas o engañarte para que pulses botones falsos (“clickjacking”). Por eso conviene revisar qué apps tienen permiso para “mostrar sobre otras aplicaciones”.

Cómo revisar y cambiar los permisos de una app concreta

Android te permite controlar, de forma bastante sencilla, qué puede hacer cada aplicación instalada en tu móvil. Los nombres de los menús cambian ligeramente según la marca y la versión, pero el recorrido general suele ser muy parecido:

  1. Abre la app Ajustes del teléfono.
  2. Entra en Aplicaciones o en Aplicaciones y notificaciones.
  3. Busca y toca la app que quieras revisar. Si no la ves, pulsa Ver todas las aplicaciones o una opción similar.
  4. Dentro de la ficha de la app, entra en Permisos.
  5. Verás los permisos permitidos y los denegados. Toca cada uno para cambiarlo entre Permitir, No permitir o las opciones avanzadas disponibles (solo mientras se usa la app, preguntar siempre, etc.).

Con permisos especialmente sensibles como ubicación, cámara o micrófono, Android ofrece matices muy interesantes:

  • Permitir todo el tiempo: normalmente solo está disponible para ubicación. La app puede saber dónde estás incluso cuando no la usas.
  • Permitir solo mientras se usa la app: la opción más recomendable para la mayoría de casos; la app solo accede al permiso cuando está en primer plano.
  • Preguntar siempre: cada vez que abras la app, tendrás que aprobar el permiso de nuevo.
  • No permitir: la app no puede usar ese permiso en ningún momento.

Ten en cuenta que, si desactivas un permiso clave, parte de la app puede dejar de funcionar (por ejemplo, un navegador GPS sin ubicación o una app de cámara sin acceso a la cámara). Si algo se rompe, siempre puedes volver a Ajustes y reactivarlo.

Cómo ver qué apps usan el mismo tipo de permiso

Además de revisar app por app, Android incorpora un gestor de permisos que te permite ver todas las aplicaciones que acceden a un mismo recurso. Es muy cómodo para detectar sorpresas, como juegos que usan tu ubicación o apps desconocidas con acceso a SMS.

Para consultarlo en la mayoría de móviles actuales:

  1. Abre Ajustes en tu Android.
  2. Ve a Seguridad y privacidad o directamente a Privacidad, según tu versión.
  3. Entra en Gestor de permisos o en Panel de privacidad y luego en Gestor.
  4. Elige un permiso concreto (por ejemplo, Ubicación, SMS, Notificaciones, Cámara…).
  5. Verás la lista de apps que tienen acceso, separadas por nivel (permitido siempre, solo en uso, denegado). Toca una app para cambiar su configuración.

Este panel es especialmente útil para revisar SMS, notificaciones, accesibilidad y “Mostrar sobre otras aplicaciones”. Si ves algo que no cuadra con la función de la app, quita el permiso sin miedo. Si más adelante lo necesita de verdad, el propio sistema volverá a pedirlo.

Panel de privacidad y actividad reciente de las apps

En Android 12 y 13, Google añadió un panel de privacidad que enseña qué aplicaciones han usado permisos sensibles en las últimas horas o días. Es una forma rápida de ver si alguna herramienta se está pasando de lista.

Para consultarlo:

  1. Abre Ajustes en tu móvil.
  2. Toca Seguridad y privacidad o Privacidad.
  3. Entra en Panel de privacidad.
  4. Selecciona un permiso (Ubicación, Cámara, Micrófono, etc.) para ver qué apps lo han usado en las últimas 24 horas (Android 12) o 7 días (Android 13).
  5. Si ves algo raro, toca la app en la lista y ajusta o revoca el permiso.

Además, desde Android 12 se muestran indicadores visuales cuando una app usa la cámara o el micrófono (pequeños puntos verdes en la barra de estado), y existen interruptores globales para bloquear todo el acceso a cámara y micrófono desde Ajustes > Seguridad y privacidad > Controles de privacidad.

Permisos automáticos y limpieza de apps que no usas

Permisos en Android cómo revisarlos y evitar abusos

Otra función muy interesante de las versiones recientes de Android es la posibilidad de revocar automáticamente los permisos de las apps que llevas tiempo sin abrir. De esta forma, si instalaste algo hace meses y se te olvidó, no seguirá con acceso a tus datos eternamente.

Para comprobarlo en una app concreta:

  1. Entra en Ajustes > Aplicaciones.
  2. Selecciona la aplicación que quieras.
  3. Busca la opción del estilo “Pausar actividad de la aplicación si no se usa” o “Eliminar permisos si la app no se usa”.
  4. Actívala para que Android corte permisos y actividad en segundo plano automáticamente cuando pasen unos meses sin que abras la app.

Además de esto, es buena idea hacer limpieza periódica: si no sabes para qué sirve una aplicación o hace siglos que no la usas, desinstálala directamente. Cuantas menos apps instaladas, menos superficie de ataque.

Permisos de administrador, root y otros accesos especiales

Además de los permisos “normales” y “peligrosos”, Android tiene una categoría de accesos especiales que otorgan un control muy alto sobre el dispositivo. Estos son especialmente delicados:

Privilegios de administrador de dispositivo: permiten a una app cambiar la contraseña, bloquear el móvil, borrar todos los datos o dificultar su desinstalación. Algunas apps de seguridad o gestión empresarial lo usan de forma legítima, pero es un poder enorme en manos equivocadas.

Accesos especiales varios: dentro de Ajustes > Aplicaciones > Acceso especial (o nombres similares) encontrarás permisos como “Instalar apps desconocidas”, “Mostrar sobre otras aplicaciones”, “Optimizar batería”, “Modificar ajustes del sistema”… Conviene revisar con calma estas secciones y limitar los accesos a lo estrictamente imprescindible.

Cómo detectar apps sospechosas a través de sus permisos

Sin ser experto en seguridad puedes detectar muchas aplicaciones dudosas simplemente fijándote en qué permisos piden y para qué los quieren. Algunas pistas muy claras:

  • Una app pide un permiso que no tiene nada que ver con su función (linterna que quiere contactos y SMS, por ejemplo).
  • Solicita muchos permisos “peligrosos” para algo que debería ser sencillo.
  • Empieza a pedir nuevos permisos tras una actualización sin explicar por qué.
  • Insiste repetidamente si le deniegas el acceso, incluso bloqueando funciones que no lo necesitan.

Si dudas, puedes hacer tres cosas muy sencillas: leer opiniones en Google Play, revisar la sección “Seguridad de los datos” de la ficha de la app y comprobar qué permisos figura que utiliza. Google obliga a los desarrolladores a declarar qué datos recopilan y cómo los tratan, lo que te da una pista extra.

Y si aun así algo no te cuadra, lo más prudente es buscar una alternativa o directamente desinstalar. En Android suele haber varias apps para casi cualquier tarea.

Relación entre permisos, malware y estafas en Android

Un patrón muy frecuente es el siguiente: descargas una app de apariencia normal (juegos, herramientas, apps de moda, incluso APKs fuera de Google Play) y al abrirla te pide accesibilidad, lectura de SMS, notificaciones o administración del dispositivo. Si aceptas sin pensar, el malware puede:

  • Leer tus SMS y notificaciones para capturar códigos de verificación.
  • Superponer pantallas falsas sobre tu banca online y robar credenciales.
  • Suscribirte a servicios premium o realizar pagos sin tu autorización.
  • Registrar todo lo que escribes y envíarselo a un servidor remoto.

Google Play Protect y los sistemas de revisión de la tienda detectan y eliminan muchas de estas apps, pero si descargas desde fuera de Play Store o das permisos extremos alegremente, el riesgo aumenta muchísimo. De ahí que tu criterio al gestionar permisos sea una parte tan importante de tu seguridad.

Para reforzar aún más la protección, es recomendable usar una app de seguridad de un proveedor reconocido que analice las aplicaciones, supervise comportamientos sospechosos y te avise si algo pinta mal, además de revisar tus permisos de forma centralizada.

Con todo lo anterior, queda claro que el sistema de permisos es una de las grandes barreras de seguridad en Android, pero también una de las más fáciles de saltarse si el usuario concede acceso a ciegas. Revisar qué pide cada app, limitar el acceso solo cuando sea necesario y usar las herramientas de privacidad del sistema marca la diferencia entre un móvil relativamente blindado y un dispositivo lleno de puertas abiertas para cualquiera que quiera abusar de ellas.

bloqueo nativo de apps en Android 17
Artículo relacionado:
Así será el bloqueo nativo de apps en Android 17