Móvil, Noticias

Los delincuentes alquilan teléfonos virtuales para eludir los sistemas de seguridad de los bancos

por Pieter Arntz | 27, 2026 de marzo
teléfono en la nube con una máscara

Los investigadores de Group-IB advierten de que los delincuentes utilizan Android virtuales para eludir las soluciones de seguridad modernas.

Los teléfonos en la nube son Android virtuales capaces de imitar por completo las características de los dispositivos reales (modelo, hardware, dirección IP, zona horaria, datos de los sensores y comportamiento). Esto les permite burlar los sistemas de detección de fraude de los bancos basados en los dispositivos.

En un principio, las granjas de teléfonos estaban formadas por dispositivos físicos y se creaban con fines de prueba. Su número aumentó cuando las empresas descubrieron que podían alquilar teléfonos virtuales y manipular artificialmente las estadísticas de interacción, como el número de seguidores, los «me gusta», los compartidos, etc. El crecimiento posterior se vio impulsado por el traslado de la infraestructura de las granjas de teléfonos físicos a los teléfonos en la nube.

En algún momento, los ciberdelincuentes descubrieron cómo utilizar estos «teléfonos de alquiler» para engañar a la gente y que les facilitara el acceso a sus cuentas bancarias y carteras de criptomonedas, que luego vaciaban.

Los bancos se dieron cuenta de estas tácticas y empezaron a desarrollar aplicaciones móviles que utilizan la identificación de dispositivos. Esto les ayudó a detectar y bloquear los dispositivos falsos que se hacían con el control de las cuentas de los usuarios.

Pero, como ocurre con cualquier carrera armamentística, los delincuentes también encontraron la manera de sortear esa medida. Ahora «precalientan» los dispositivos instalando aplicaciones bancarias, registrando credenciales y realizando pequeñas transacciones para que las cuentas y los datos de telemetría del dispositivo parezcan de bajo riesgo.

Los investigadores señalan que:

«Pasaron a utilizar teléfonos en la nube: Android de acceso remoto que se ejecutan en centros de datos. A todos los efectos, se trata de teléfonos reales, que ejecutan firmware auténtico, muestran un comportamiento natural de los sensores y presentan una certificación de hardware válida».

Y no supone una gran inversión para los delincuentes. Las principales plataformas de telefonía en la nube ofrecen alquiler de dispositivos por tan solo entre 0,10 y 0,50 dólares la hora, lo que hace que la infraestructura necesaria para cometer fraudes esté al alcance de casi cualquiera.

Uno de los ámbitos en los que se utilizan estos dispositivos es el de los videojuegos para móviles con economías basadas en dinero real. Estos juegos llevan mucho tiempo enfrentándose a un problema concreto: la generación masiva de moneda y recursos del juego mediante bots. En muchos casos, las cuentas automatizadas pueden generar objetos del juego que tienen valor en el mundo real.

Los bancos se enfrentan a un problema distinto: los ataques de apropiación de cuentas (ATO). A medida que la banca pasó de los navegadores web a las aplicaciones móviles, se hizo necesario contar con métodos más fiables y completos para identificar los dispositivos de confianza. En la actualidad, muchos bancos vinculan las cuentas a dispositivos específicos y marcan como sospechosas las transferencias que no proceden de esos dispositivos.

El inicio de un ataque sigue siendo ingeniería social. Los delincuentes intentan engañar a los usuarios para que compartan contraseñas de un solo uso (OTP), aprueben un inicio de sesión o realicen una transferencia «a una cuenta segura».

Entre bastidores, el delincuente inicia sesión en un dispositivo telefónico en la nube que, a ojos del banco, ya se hace pasar por el dispositivo de la víctima, gracias a huellas digitales coincidentes o verosímiles y a un comportamiento preconfigurado.

Una vez que los delincuentes han accedido al sistema, realizan transferencias mediante pagos push autorizados (APP) —a menudo a cuentas de «mulas» — que los sistemas del banco pueden considerar de bajo riesgo, ya que nada en el dispositivo parece indicar claramente que haya algún problema.

En ese momento, los delincuentes pueden empezar a vaciar tu cuenta o vender los teléfonos virtuales a otros delincuentes. Según los investigadores:

«En los mercados de la darknet se comercializan activamente cuentas de dropper previamente verificadas creadas en teléfonos en la nube; las cuentas de Revolut y Wise tienen un precio de entre 50 y 200 dólares cada una, y a menudo incluyen acceso continuado a la instancia del teléfono en la nube».

Cómo mantenerse seguro

Los investigadores de Group-IB recomiendan a los usuarios finales que:

  • Nunca realices procesos de verificación de cuentas siguiendo instrucciones de terceros. Ten en cuenta que los bancos y las instituciones gubernamentales nunca piden a los clientes que verifiquen sus cuentas a través de aplicaciones desconocidas o entornos remotos.
  • Active las funciones de seguridad del dispositivo. Utilice aplicaciones oficiales de banca móvil, la autenticación biométrica y una configuración de seguridad sólida a nivel del dispositivo.
  • Ten cuidado con las estafas que prometen «ganancias fáciles» y que implican cuentas bancarias. Ofertas de trabajo falsas en las que te piden que «verifiques» cuentas bancarias, funcionarios públicos que solicitan la verificación de cuentas o representantes de bancos que te piden que transfieras dinero a cuentas «seguras».
  • Si sospechas que has sido víctima de un ataque, ponte en contacto con tu banco de inmediato. Actualiza tus contraseñas y activa la autenticación multifactorial en todas tus cuentas.

Nos gustaría añadir:

  • Activa las alertas bancarias para los inicios de sesión, los cambios de beneficiarios y las transacciones siempre que sea posible, para que puedas detectar inmediatamente cualquier actividad inusual.
  • Utiliza una solución antimalware actualizada y en tiempo real para tu dispositivo Android con el fin de detectar y bloquear los programas de robo de información.
  • Si tienes dudas sobre un mensaje, consulta Malwarebytes Guard. Te ayudará a determinar si se trata de una estafa y te indicará qué debes hacer.

No nos limitamos a informar sobre la seguridad de los teléfonos: la proporcionamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos móviles descargando Malwarebytes para iOS y Malwarebytes para Android hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
Una versión troyanizada de Avast distribuye Venom Stealer

Una página web falsa de Avast simula un análisis de virus y, en su lugar, instala Venom Stealer

Marzo 27, 2026

Un análisis falso de Avast te indica que tu ordenador está infectado y, a continuación, instala un malware que roba contraseñas, datos de sesión y carteras de criptomonedas.

Noticias
El logotipo de Apple sobre un fondo de cadenas

Infiniti Stealer: un nuevo programa de robo de información para macOS que utiliza ClickFix y Python/Nuitka

Marzo 26, 2026

Un nuevo programa de robo de información para macOS, NukeChain (ahora Infiniti Stealer), utiliza páginas CAPTCHA falsas para engañar a los usuarios y que ejecuten comandos maliciosos.

Noticias
Se ha identificado GlassWorm

El ataque GlassWorm instala una extensión falsa en el navegador con fines de vigilancia

Marzo 26, 2026

Se oculta en las herramientas de desarrollo, supervisa la actividad y roba datos, lo que convierte una simple infección en un riesgo más amplio para toda la cadena de suministro.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas