¿Cómo identificamos una estafa digital? Usualmente pensamos en enlaces falsos o mensajes diseñados para obtener claves bancarias. Sin embargo, los ciberdelincuentes han ampliado sus métodos para acceder a información personal y, con ello, al dinero de sus víctimas. Una de las modalidades combina ofertas demasiado atractivas con aplicaciones fraudulentas capaces de tomar el control del celular.
El acceso que muchos pasan por alto
De acuerdo con una alerta del Banco de Crédito del Perú (BCP), los ciberdelincuentes persuaden a los usuarios para que instalen aplicaciones enviadas por WhatsApp, bajo el argumento de acceder a promociones exclusivas que no están disponibles en tiendas oficiales. Para instalarse, estas apps suelen solicitar permisos de accesibilidad, una función que muchas veces pasa inadvertida para las víctimas.
“Los delincuentes convencen al usuario de que, por seguridad, la única forma de acceder a estas ‘ofertas especiales’ es mediante una aplicación que aún no está disponible públicamente en tiendas oficiales, como Google Play o App Store. Así, la víctima instala una app enviada por WhatsApp y le otorga permisos de accesibilidad, lo que permite al atacante ver la pantalla del celular en tiempo real”, explica Andrés Flores, gerente de Educación y Salud Financiera del BCP.
Como consecuencia, el delincuente puede leer mensajes y controlar aplicaciones instaladas en el dispositivo. En la práctica, el fraude ya no depende únicamente de que la víctima entregue información sensible: ahora el atacante puede operar desde el propio celular comprometido.
“Con ese nivel de acceso, el ciberdelincuente puede, de manera remota, conocer la clave de ingreso a una cuenta bancaria, tomar control de correos electrónicos o suplantar la identidad de la víctima. Un ejemplo concreto es el acceso a WhatsApp para solicitar préstamos de dinero a contactos cercanos. Otro riesgo es la instalación de más aplicaciones maliciosas en el dispositivo”, advierte Javier More, coordinador del área de TI de la carrera de Ingeniería de Sistemas de la Universidad de Lima, a Sectoriales Tech.
Diferencias clave entre tipos de aplicaciones
Ante el grave riesgo que implican estas ofertas falsas, Flores recomienda descargar aplicaciones únicamente desde tiendas oficiales, como Google Play y App Store. También aconseja evitar cualquier instalación a partir de archivos enviados por WhatsApp o desde páginas desconocidas. Otra señal de alerta es que una aplicación registre pocas descargas o reseñas, lo que puede evidenciar una reputación dudosa.
En contraste, More señala que las aplicaciones disponibles en tiendas oficiales pasan por un proceso de verificación riguroso antes de poder ser descargadas. Dicha validación garantiza que el aplicativo no involucre ningún riesgo para los usuarios. Por ello, compara la instalación de una aplicación desde fuera de estos canales con dejar la puerta abierta para que los ladrones entren a una casa.
El riesgo de las descargas externas ha escalado a tal punto que, en agosto del 2025, Google anunció nuevas capas de seguridad para verificar a los desarrolladores que distribuyen aplicaciones fuera de Google Play. La medida busca dificultar que actores maliciosos repliquen campañas de malware y estafas.
“Las aplicaciones son piezas de software que realizan las acciones para las que fueron programadas. Así, una aplicación no oficial puede haber sido desarrollada por ciberdelincuentes para acciones como acceder al micrófono, la pantalla, la ubicación en tiempo real, el historial de navegación o el álbum de fotografías del usuario; recolectar información sobre lo que escribe; ingresar remotamente al dispositivo, y todo lo que pueda ser programado”, añade More.
Asimismo, Flores recomienda desconfiar de las ofertas difundidas en grupos de redes sociales, por más tentadoras que parezcan. “Ninguna empresa grande vende sus productos mediante asesores en grupos de Telegram o Facebook”, asegura. Finalmente, remarca que si una aplicación solicita permisos para “controlar el dispositivo” o “ver y controlar la pantalla”, lo recomendable es desinstalarla de inmediato.
Cuando la ingeniería social vence a la tecnología
En la misma línea, More sostiene que sensibilizar y advertir a los usuarios sobre estos riesgos crecientes es fundamental. Aunque se cuente con tecnología avanzada de defensa, como antivirus o firewall, basta una falla del usuario para dejar expuesto el sistema. Los ciberdelincuentes suelen aprovechar la vulnerabilidad emocional de las personas, lo que explica por qué incluso personas con experiencia en entornos digitales pueden caer en este tipo de estafas.
“Supongamos que eres padre de un bebé y, mientras navegas en redes sociales, aparece la publicidad de un producto atractivo. En ese momento piensas: ‘esto es justo para mi hijo/a’, te gana la emoción, ingresas al enlace, completas tus datos personales —incluso los de tu tarjeta de crédito—, instalas el ‘aplicativo’ que te indican y, sin darte cuenta, ya fuiste víctima”, señala.
Las estafas también se han extendido a la búsqueda de empleo. En estos casos, los atacantes solicitan datos personales y luego piden instalar un “aplicativo” para pasar a la siguiente etapa del proceso. Por ello, More recomienda verificar la información antes de actuar: revisar canales oficiales y contactar directamente a la empresa involucrada, ya sea un banco o una tienda. Nadie está completamente a salvo de creer en un supuesto beneficio digital que puede traer el mayor de los disgustos.
