Malware Operación NoVoice: las 50 apps falsas de Google Play que robaron datos a 2,3 millones de Android


¿Cuántas veces has instalado una app porque tenía 4,8 estrellas y miles de reseñas? Eso es exactamente lo que aprovecharon los atacantes detrás de la Operación NoVoice. Y funcionó durante meses antes de que alguien lo detectara.
En marzo de 2026, los investigadores de McAfee destaparon una campaña de malware que llevaba circulando silenciosamente desde mediados de 2025. El resultado: más de 50 aplicaciones aparentemente legítimas en Google Play, 2,3 millones de descargas acumuladas y un rootkit diseñado para no dejar rastro en el dispositivo.
- Qué era Operación NoVoice exactamente
- Las categorías de apps implicadas
- Cómo eludieron la revisión de Google Play
- Cómo saber si tu dispositivo fue afectado
- Qué hacer si sospechas que estuviste infectado
- El problema de fondo que nadie quiere admitir
- Por qué este ataque es diferente al malware habitual
Qué era Operación NoVoice exactamente
No estamos hablando de un virus cualquiera. Un rootkit es una categoría de malware especialmente peligrosa porque actúa con privilegios de administrador. Se instala en capas profundas del sistema, se camufla de procesos legítimos y, lo más inquietante, consigue ocultarse de las propias herramientas de seguridad del dispositivo.
McAfee detectó este malware en apps que se presentaban como herramientas de fotografía, juegos casuales, utilidades de productividad y gestores de archivos. Nada que levantara sospechas a primera vista. Algunas incluso funcionaban correctamente como apps legítimas mientras, en segundo plano, hacían lo suyo.
Una vez instaladas, el componente malicioso capturaba credenciales de acceso, datos bancarios almacenados en el dispositivo, historial de navegación y, en algunos casos, accedía a la cámara y el micrófono sin que el usuario lo supiera. Todo esto en un teléfono Android aparentemente normal, con las apps instaladas desde la tienda oficial de Google.
El nombre de la operación, NoVoice, hace referencia precisamente a eso: un malware que actúa en silencio absoluto. Sin alertas, sin comportamientos extraños visibles, sin consumo de batería llamativo que levante sospechas.
Las categorías de apps implicadas
McAfee identificó varias familias de apps dentro de esta operación. Las más comunes eran gestores de archivos y limpiadores de caché, apps de fotografía y filtros con acceso a cámara, juegos casuales con SDKs publicitarios modificados, y teclados alternativos con diseños atractivos.
Los teclados de terceros merecen mención especial. Si alguna app merece un nivel de desconfianza elevado por defecto, es exactamente esa: un teclado tiene acceso a absolutamente todo lo que escribes, incluyendo contraseñas, mensajes y datos bancarios. Operación NoVoice explotó esto con varias apps de teclado que ofrecían personalización de emojis y temas visuales llamativos.
La táctica de los gestores de archivos es igualmente efectiva. El usuario les concede permisos amplios de acceso al almacenamiento sin pensarlo demasiado, porque para eso sirven. Para un rootkit, ese es exactamente el acceso que necesita.
Cómo eludieron la revisión de Google Play
Esta es la pregunta que más incomoda, porque la respuesta dice mucho del estado actual de la seguridad en la tienda de apps más grande del mundo.
Los atacantes usaron la técnica del "delayed payload": la app se sube limpia, supera todas las revisiones automáticas y solo días o semanas después recibe una actualización que activa el componente malicioso. Para entonces ya tiene miles de descargas y reseñas positivas de usuarios reales.
El rootkit también estaba programado para no activarse en entornos de análisis automatizado ni en emuladores, lo que dificulta enormemente su detección en los sistemas de revisión de Google. Esto no es un fallo puntual de los sistemas de Google; es una técnica diseñada específicamente para explotarlos.
Google respondió eliminando las 50+ apps en cuestión de horas tras la notificación de McAfee. Pero entre la activación del malware y la eliminación pasaron semanas. Tiempo más que suficiente para afectar a millones de dispositivos.
Si quieres entender otras amenazas activas en Android, lee nuestro análisis de la vulnerabilidad CVE-2025-48595, el zero-day que está siendo explotado ahora mismo. Y para un enfoque más práctico de protección, la guía de cómo proteger tu móvil de estafas y fraudes en 2026 cubre los pasos concretos.
Cómo saber si tu dispositivo fue afectado
Si instalaste apps en Google Play entre mediados de 2025 y marzo de 2026, especialmente teclados, gestores de archivos o apps de fotografía de desarrolladores poco conocidos, hay señales que conviene revisar.
Primero, el consumo de datos en segundo plano. Los rootkits se comunican con servidores externos, lo que genera tráfico de red que no se puede atribuir fácilmente a ninguna app concreta. Revisa el uso de datos por aplicación en Ajustes y busca apps con consumo de datos elevado que no deberían tenerlo.
Segundo, apps con permisos que no recuerdas haber concedido. Ve a Ajustes, Privacidad, Administrador de permisos, y revisa qué apps tienen acceso a cámara, micrófono y localización. Si hay alguna desconocida o que no debería tener esos permisos, actúa de inmediato.
Tercero, la herramienta más accesible: abre Google Play, ve a tu perfil y ejecuta Play Protect. Google actualizó su base de firmas para detectar las variantes conocidas de NoVoice.
Qué hacer si sospechas que estuviste infectado
La respuesta corta es: no te quedes solo en desinstalar la app afectada. Eso no es suficiente con un rootkit.
Cambia las contraseñas de tus cuentas más importantes desde otro dispositivo. Activa la verificación en dos pasos en todo lo que puedas, especialmente cuentas bancarias y de correo. Notifica a tu banco si tienes razones para creer que tus datos financieros estuvieron expuestos.
Si quieres la garantía máxima, la única opción real es un restablecimiento de fábrica completo. Sí, es un incordio. Pero es la única forma de asegurarte de que el rootkit no dejó componentes persistentes en el sistema. Algunos rootkits sofisticados sobreviven a un restablecimiento normal si tienen acceso a la partición del sistema, aunque en el caso de Operación NoVoice los análisis de McAfee indican que un restablecimiento estándar es suficiente.
El problema de fondo que nadie quiere admitir
Google Play tiene más de tres millones de apps. El equipo de revisión no puede analizar cada actualización de cada app en profundidad, y los atacantes lo saben perfectamente.
La idea de que una app en Google Play es segura por definición es un mito que hay que superar ya. La tienda reduce el riesgo, pero no lo elimina. Las buenas prácticas de seguridad siguen siendo responsabilidad del usuario: no instalar apps de desarrolladores desconocidos sin revisar sus permisos, mantener Android actualizado y no ignorar los avisos de seguridad de Play Protect.
La actualización Android de junio de 2026 incluye mejoras específicas para cerrar vectores de ataque similares a los usados en Operación NoVoice. Si aún no la tienes instalada, es el momento de hacerlo.
Por qué este ataque es diferente al malware habitual
La mayoría del malware para móviles es relativamente obvio: muestra publicidad agresiva, drena la batería de forma visible o intenta suscribirte a servicios premium. Se detecta rápido.
NoVoice estaba diseñado para el largo plazo. El objetivo no era hacer dinero rápido. Era exfiltrar datos de forma continua y silenciosa durante semanas o meses. Eso apunta a una operación bien financiada con motivaciones de espionaje o robo de credenciales a escala, probablemente para vender en mercados de la dark web.
Las cifras que maneja Kaspersky para 2026 no dejan lugar a la complacencia: un 50% más de amenazas Android en 2025 respecto al año anterior, con 12 millones de dispositivos comprometidos solo en el primer trimestre de 2026. No es una tendencia que vaya a revertirse pronto.
Hay mucho en juego. La buena noticia es que la mayoría de los ataques pueden evitarse con medidas que no requieren conocimientos técnicos: instalar actualizaciones, revisar permisos y desconfiar de apps con historial de reviews dudoso. Suena básico, pero sigue siendo lo más efectivo.

Ver también