La promesa de funciones extra resultó ser la puerta de entrada a un troyano diseñado para explotar la confianza del usuario.
Global, octubre 2025. Una oleada de aplicaciones falsas que se hacen pasar por versiones “mejoradas” de mensajería ha activado alarmas entre expertos en ciberseguridad: bajo la etiqueta comercial de “WhatsApp Plus”, criminales distribuyen paquetes maliciosos para Android que instalan spyware capaz de interceptar mensajes, acceder a la cámara frontal, extraer contactos y propagarse usando la propia libreta de direcciones de la víctima. El vector principal no ha sido la tienda oficial, sino canales alternativos de distribución y sitios que simulan descargas legítimas.
El software malicioso, identificado por analistas como una variante de la familia conocida como ClayRat, combina ingeniería social y permisos abusivos para consolidar su espionaje. Tras una instalación inducida por el usuario, la app solicita privilegios que permiten convertirse en la aplicación de mensajería por defecto, leer notificaciones, acceder al almacenamiento y controlar llamadas. Con esos permisos, el malware no solo exfiltra datos sensibles sino que además automatiza la difusión del enlace malicioso a través de SMS y mensajes a contactos, multiplicando la infección en cadena.
Investigadores especializados subrayan que la clave del éxito de la campaña reside en tres factores: la suplantación confiable de la marca, la difusión por canales poco regulados y la disposición de ciertos usuarios a activar instalaciones desde fuentes desconocidas. En aparatos configurados para permitir instalaciones externas a las tiendas oficiales, el riesgo se dispara. Además, la fragmentación del ecosistema Android facilita que versiones aparentemente idénticas se comporten de forma distinta según el fabricante y la versión del sistema operativo.
En la práctica, las señales que delatan una infección son claras pero a menudo confundidas con fallos comunes: consumo excesivo de batería, actividad de datos inusual, envíos automáticos de mensajes y apariciones de aplicaciones desconocidas en el listado de permisos. Técnicos forenses apuntan que, una vez activa, esta familia de spyware puede mantener acceso persistente, registrar entradas de teclado, capturar imágenes y audio, y descargar módulos adicionales para ampliar sus capacidades.
Aunque los primeros focos detectados estuvieron concentrados en determinadas regiones, la naturaleza global de los canales de difusión y la movilidad de los usuarios han convertido la amenaza en una preocupación internacional. Equipos de respuesta a incidentes en Europa y América han observado intentos de distribución mediante grupos cerrados en aplicaciones de mensajería y enlaces promocionados que imitan páginas oficiales, una estrategia que reduce la sospecha y aumenta la tasa de instalación.
Frente a este panorama, las recomendaciones de ciberseguridad son inflexibles: instalar aplicaciones únicamente desde los repositorios oficiales, revisar con cuidado los permisos solicitados por cada app y desactivar la opción que permite instalaciones desde fuentes desconocidas. En caso de detectar comportamientos anómalos, los expertos aconsejan aislar el dispositivo, cambiar credenciales sensibles desde otro equipo seguro y acudir a herramientas de análisis para identificar procesos sospechosos o ficheros no autorizados. En escenarios de compromiso confirmado, la restauración de fábrica, tras copia de seguridad verificada, suele ser la forma más segura de eliminar el acceso persistente.
La campaña también plantea una reflexión más amplia sobre alfabetización digital: muchos ataques exitosos explotan carencias informativas básicas, como la confusión entre una página oficial y su imitación, o la interpretación errónea de permisos técnicos. Programas de concienciación impulsados por empresas tecnológicas, gobiernos y organizaciones civiles resultan cada vez más imprescindibles para reducir la superficie de ataque.
A nivel institucional, la cooperación transnacional entre laboratorios de ciberseguridad, proveedores de servicios y fuerzas de seguridad ha demostrado ser útil para trazar patrones de la amenaza y neutralizar servidores de comando y control. No obstante, la rapidez con que se crean nuevos instaladores maliciosos obliga a mantener una vigilancia continua y a priorizar actualizaciones de sistemas y aplicaciones.
La llegada de amenazas como la que se oculta bajo el nombre de “WhatsApp Plus” recuerda que la confianza en la experiencia digital es frágil y que la protección depende tanto de la tecnología como del comportamiento del usuario. En un entorno donde una simple descarga puede abrir una ventana al interior de la vida privada, la prudencia y la prevención son la primera línea de defensa.
Phoenix24: clarity in the grey zone. / Phoenix24: claridad en la zona gris.