Las apps fraudulentas en Google Play no son una novedad, pero el caso CallPhantom tiene una escala que resulta difícil de ignorar. Investigadores de ESET han destapado una familia de 28 aplicaciones para Android que prometían algo técnicamente imposible: consultar el historial de llamadas, los SMS y hasta los registros de WhatsApp de cualquier número de teléfono. El precio de acceso era una suscripción. Lo que el usuario recibía a cambio era pura ficción.
Según el informe publicado por WeLiveSecurity, las 28 aplicaciones acumularon más de 7,3 millones de descargas antes de ser retiradas de la tienda. Una sola de ellas superó los 3 millones de instalaciones. Los datos que mostraban a los usuarios, siempre después del pago, eran números de teléfono aleatorios con nombres y marcas de tiempo incrustados directamente en el código de la propia app. No había ningún acceso real a ningún operador ni a ningún servidor externo. Todo estaba fabricado de antemano.
Cómo funcionaba el engaño de CallPhantom
El mecanismo era sencillo y efectivo. El usuario introducía un número de teléfono, pagaba una tarifa y recibía una pantalla con datos que parecían reales. La clave del timo estaba en el orden: el pago siempre llegaba antes que los supuestos resultados. Una vez cobrado, no había nada que devolver salvo una tabla de datos inventados.
Las tarifas variaban bastante. El precio más bajo rondaba los 5 euros semanales, mientras que el más alto llegaba a los 80 dólares anuales, con distintos niveles de suscripción que imitaban la estructura de un servicio legítimo. Algunas apps añadían otro truco, cuando el usuario intentaba cerrar la aplicación sin pagar, recibía una notificación falsa que simulaba ser un correo con los resultados ya listos, lo que le devolvía directamente a la pantalla de pago.
Una de las aplicaciones se publicó bajo el nombre de desarrollador «Indian gov.in», sugiriendo una vinculación con el gobierno indio que no existía en absoluto. Varias de ellas tenían secciones de reseñas donde los usuarios advertían abiertamente de la estafa, aunque esas advertencias convivían con racimos de valoraciones de cinco estrellas que mantenían la nota media en un rango aparentemente respetable.
El agujero de seguridad en Google Play
ESET notificó el conjunto completo de apps fraudulentas a Google el 16 de diciembre de 2025, y todas fueron retiradas. El problema es que la retirada llegó gracias a un aviso externo, no porque los sistemas de Google detectaran nada por sí solos. Que 28 variantes de la misma estafa, todas prometiendo la misma función imposible, acumularan millones de descargas sin activar ninguna alarma interna es una brecha notable para una tienda que presume de contar con detección automatizada de amenazas.
El asunto de los pagos complica aún más las cosas. Algunas apps usaban el sistema de facturación oficial de Google Play, lo que deja abierta la posibilidad de solicitar un reembolso a través de la configuración de pagos de la tienda. Otras, en cambio, redirigían a los usuarios a transacciones UPI de terceros o a formularios de tarjeta integrados directamente en la aplicación, algo que viola las normas de Google Play y que, además, deja a las víctimas sin red. Quien pagó fuera del sistema oficial tiene que reclamar al proveedor de pago externo o a los propios desarrolladores, que no tienen ningún incentivo para responder.
El perfil del objetivo también revela la precisión del fraude. Las apps preseleccionaban el prefijo +91 de India y aceptaban pagos por UPI, el sistema de transferencias instantáneas más extendido en ese país. Según ESET, el 53,7 % de todas las detecciones de CallPhantom a nivel mundial se registraron en India, aunque la campaña también afectó a usuarios de la región Asia-Pacífico.
Por qué 7,3 millones de personas descargaron estas apps
La pregunta incómoda no es cómo funcionaba el timo, sino por qué tuvo tanto éxito. Estas apps no ofrecían almacenamiento en la nube ni filtros de foto. Ofrecían la posibilidad de espiar a alguien, ya fuera una pareja, un ex, un hijo o un contacto de trabajo. Esa demanda existía, era real y era lo suficientemente grande como para sostener 7,3 millones de descargas.
Los estafadores lo sabían y diseñaron el producto en consecuencia. Aprovecharon la curiosidad como motor de compra, construyeron una interfaz que parecía profesional y fijaron precios que resultaban accesibles. El resultado es una estafa que cobra por algo que el usuario desea con urgencia, entregarle una apariencia convincente de nada y confiar en que la vergüenza le disuada de quejarse demasiado alto. Para quienes hayan caído en ella, el primer paso es revisar las suscripciones activas en la configuración de pagos de Google Play y solicitar el reembolso si el cargo pasó por el sistema oficial de facturación.