La seguridad móvil vuelve a estar en el punto de mira tras conocerse nuevas campañas de malware que llegan preinstaladas en teléfonos Android antes incluso de que el usuario los configure por primera vez. Investigadores de seguridad han detectado variantes del conocido troyano Triada ocultas directamente en el firmware de dispositivos falsificados o extremadamente baratos, lo que permite a los atacantes obtener control total del terminal desde el primer encendido. El problema no afecta únicamente a smartphones, ya que también se han identificado infecciones similares en televisores inteligentes, TV Box, relojes conectados y otros equipos basados en Android.

El caso vuelve a poner sobre la mesa un problema que lleva años creciendo silenciosamente dentro de la cadena de suministro tecnológica. Mientras los fabricantes buscan reducir costes externalizando parte del desarrollo del firmware, grupos criminales aprovechan esos procesos para insertar código malicioso casi imposible de eliminar. El resultado es que millones de dispositivos pueden acabar funcionando como herramientas de espionaje, plataformas para fraude publicitario o nodos de redes botnet sin que el propietario llegue siquiera a sospecharlo.

Triada vuelve a escena con capacidades más avanzadas

El protagonista de esta nueva oleada es Triada, un malware para Android descubierto originalmente en 2016 y considerado desde entonces uno de los troyanos móviles más sofisticados detectados por empresas de ciberseguridad. En sus primeras versiones actuaba principalmente como un descargador silencioso de aplicaciones fraudulentas, pero con el paso del tiempo evolucionó hasta convertirse en una puerta trasera completa capaz de modificar componentes críticos del sistema operativo.

Según investigadores de Kaspersky y diferentes medios especializados, las nuevas variantes se están ocultando directamente dentro del framework de Android y del proceso Zygote, una pieza fundamental encargada de lanzar aplicaciones en el sistema. Al integrarse en ese nivel tan profundo, el malware consigue ejecutarse con privilegios elevados y mantenerse operativo incluso tras restablecer el dispositivo a valores de fábrica. Parte de la información fue publicada en medios como TechRadar  y Ars Technica.

Técnicamente, Triada puede interceptar procesos internos del sistema utilizando técnicas de hooking dinámico en memoria. Eso permite alterar llamadas API relacionadas con autenticación, mensajería o acceso a red sin necesidad de instalar aplicaciones visibles para el usuario. En algunos análisis se ha observado que el malware emplea cifrado AES para ocultar comunicaciones con servidores remotos y utiliza módulos descargables capaces de cambiar de comportamiento según la región geográfica o el operador móvil detectado.

Uno de los aspectos más preocupantes es que la infección no llega mediante una descarga sospechosa o un APK pirata, sino directamente desde fábrica o durante el proceso de distribución comercial. El usuario abre la caja pensando que ha comprado un terminal nuevo y seguro, pero realmente el dispositivo ya está comprometido desde el inicio.

Cómo actúa el malware dentro del teléfono

La capacidad de Triada para operar a bajo nivel le permite realizar acciones especialmente peligrosas. El malware puede robar credenciales de acceso, interceptar mensajes SMS utilizados para autenticación en dos pasos, modificar direcciones de criptomonedas copiadas al portapapeles e incluso controlar procesos relacionados con aplicaciones bancarias.

En algunos casos documentados durante 2025, el troyano también fue utilizado para generar fraude publicitario masivo. El dispositivo infectado simulaba clics y reproducciones de anuncios en segundo plano, consumiendo recursos del teléfono y tráfico de datos móviles sin que el propietario lo supiera. Ese tipo de fraude puede parecer menor comparado con el robo de credenciales, pero cuando se multiplica por cientos de miles de dispositivos genera ingresos importantes para las redes criminales.

Los investigadores indican que algunos módulos tienen capacidad para abrir proxies ocultos dentro del terminal. Eso significa que el smartphone infectado puede utilizarse como nodo de conexión para actividades ilegales, ocultando la ubicación real de los atacantes. En términos prácticos, el teléfono de un usuario normal puede terminar participando indirectamente en campañas de spam, ataques automatizados o distribución de malware.

A nivel técnico, varias muestras recientes incorporan persistencia mediante modificación de particiones del sistema. En determinados modelos Android económicos, las particiones recovery y vendor pueden ser alteradas sin activar mecanismos de verificación de integridad. Esa debilidad permite que el código malicioso sobreviva incluso tras reinstalar aplicaciones o borrar datos personales.

El problema de la cadena de suministro

La noticia también vuelve a poner el foco sobre un asunto poco visible para la mayoría de consumidores: la compleja cadena de suministro de dispositivos Android. Muchas marcas de bajo coste no desarrollan completamente su firmware, sino que compran paquetes ya preparados a terceros. En esos procesos intervienen fabricantes ODM, integradores de software y proveedores de firmware externos.

Investigadores de Trend Micro explicaron hace tiempo que la feroz competencia entre fabricantes de móviles económicos redujo tanto los márgenes que algunos proveedores comenzaron a ofrecer firmware prácticamente gratis a cambio de incluir determinados plugins o servicios ocultos. Parte de esos componentes terminaron siendo utilizados para introducir malware. Información relacionada fue recogida por TechRadar y Techzine.

En muchos casos ni siquiera está claro en qué punto exacto de la cadena se introduce la infección. Puede producirse durante el ensamblaje, en el empaquetado del firmware o incluso durante procesos posteriores de distribución. Esa falta de trazabilidad complica enormemente las investigaciones.

El riesgo aumenta especialmente en dispositivos extremadamente baratos vendidos en marketplaces internacionales, tiendas poco conocidas o plataformas de importación directa. Algunos terminales falsificados utilizan nombres parecidos a modelos populares de Samsung, Xiaomi o Huawei para engañar a compradores que buscan precios reducidos.

El smartphone como herramienta de espionaje silencioso

Uno de los elementos más inquietantes de estas campañas es la capacidad de monitorización permanente que consiguen los atacantes. Un teléfono moderno contiene acceso a ubicaciones GPS, conversaciones privadas, historiales de navegación, aplicaciones financieras, fotografías, contactos y datos biométricos.

Con permisos elevados, un malware como Triada puede acceder a una cantidad enorme de información sensible. Además, al integrarse dentro del sistema operativo, resulta mucho más difícil detectarlo utilizando antivirus convencionales. Algunas variantes son capaces de ocultar procesos, manipular listas de aplicaciones instaladas y desactivar mecanismos de protección.

En pruebas realizadas por investigadores de seguridad se ha comprobado que ciertos módulos permanecen activos consumiendo entre un 3% y un 8% adicional de CPU de forma constante. Aunque pueda parecer poco, en dispositivos modestos eso repercute directamente en autonomía, temperatura y degradación del hardware.

También preocupa especialmente el acceso a aplicaciones bancarias y plataformas de criptomonedas. Algunas variantes recientes pueden superponer interfaces falsas sobre aplicaciones legítimas para capturar credenciales. Otras monitorizan el portapapeles buscando direcciones de wallets de Bitcoin o Ethereum para sustituirlas automáticamente por otras controladas por los atacantes.

Android sigue siendo el principal objetivo

Aunque iPhone también recibe ataques, Android continúa siendo el sistema operativo más atacado debido a su enorme cuota de mercado y a la fragmentación existente entre fabricantes. El problema no reside únicamente en Android como plataforma, sino en la falta de actualizaciones de seguridad y en la existencia de dispositivos económicos con controles mínimos.

Actualmente existen miles de modelos Android distintos en circulación, muchos de ellos abandonados por sus fabricantes pocos meses después de salir al mercado. Eso crea un ecosistema donde vulnerabilidades conocidas siguen abiertas durante años.

Diversos informes señalan que millones de dispositivos activos todavía funcionan con versiones antiguas de Android sin soporte de seguridad reciente. En esos escenarios, incluso malware relativamente antiguo sigue siendo efectivo.

Además, el auge de dispositivos IoT basados en Android ha ampliado enormemente la superficie de ataque. Smart TV, proyectores, sistemas multimedia para coches y TV Box económicos suelen incorporar versiones modificadas del sistema operativo con medidas de protección reducidas.

Los dispositivos baratos son el objetivo prioritario

No todos los smartphones baratos están infectados ni todos los fabricantes económicos son inseguros, pero los informes coinciden en que la mayoría de casos aparecen en terminales extremadamente baratos o falsificados.

Un dispositivo vendido muy por debajo del precio habitual del mercado suele esconder algún tipo de recorte importante. A veces afecta a la calidad de la pantalla o la batería, pero en otros casos repercute directamente en seguridad. La ausencia de certificaciones oficiales, soporte técnico limitado y actualizaciones inexistentes crea el escenario ideal para este tipo de amenazas.

Algunos terminales afectados utilizan procesadores MediaTek antiguos con versiones Android modificadas sin certificación Play Protect. En análisis forenses se encontraron componentes sospechosos integrados dentro de librerías del sistema y servicios ejecutados automáticamente durante el arranque.

También se detectaron conexiones constantes hacia servidores remotos utilizando puertos no habituales y tráfico cifrado irregular. Parte de esos servidores estaban alojados en infraestructuras utilizadas anteriormente para botnets Android.

Qué puede hacer el usuario para protegerse

La recomendación principal sigue siendo comprar dispositivos a distribuidores oficiales o tiendas reconocidas. El ahorro inmediato de adquirir un móvil extremadamente barato puede terminar saliendo caro si el terminal ya viene comprometido.

También es importante verificar que el dispositivo reciba actualizaciones de seguridad periódicas. Marcas reconocidas suelen ofrecer entre cuatro y siete años de soporte en gamas medias y altas, algo que reduce considerablemente el riesgo frente a amenazas conocidas.

Otra medida útil consiste en comprobar si el móvil está certificado por Play Protect. Aunque no garantiza seguridad absoluta, sí añade una capa adicional de control sobre aplicaciones y firmware.

Desde un punto de vista técnico, herramientas de análisis de tráfico de red permiten detectar conexiones sospechosas generadas por aplicaciones del sistema. Usuarios avanzados también pueden reinstalar ROMs oficiales limpias en determinados modelos, aunque ese proceso no siempre es sencillo y puede invalidar garantías.

Conviene además evitar instalar APKs fuera de tiendas oficiales y desconfiar de móviles clónicos que prometen especificaciones demasiado elevadas por precios absurdamente bajos. Un supuesto smartphone “premium” por menos de 100 euros suele ser motivo suficiente para sospechar.

Un problema que seguirá creciendo

Todo apunta a que este tipo de ataques seguirá aumentando durante los próximos años. El negocio detrás del malware móvil es extremadamente rentable y los smartphones concentran cada vez más información sensible.

Las campañas modernas ya no buscan únicamente robar datos personales. También persiguen monetización mediante criptomonedas, fraude publicitario, creación de botnets y alquiler de infraestructuras clandestinas. Un teléfono comprometido puede convertirse en una pequeña pieza dentro de operaciones criminales mucho más amplias.

Además, la expansión del Internet de las Cosas multiplica los posibles objetivos. Cada nuevo dispositivo conectado representa un punto potencial de entrada si el fabricante no mantiene estándares mínimos de seguridad.

Las autoridades y empresas tecnológicas están intentando mejorar controles sobre la cadena de suministro, pero el ecosistema Android continúa siendo demasiado amplio y fragmentado. Mientras existan fabricantes sin supervisión suficiente y consumidores atraídos por dispositivos extremadamente baratos, los atacantes seguirán encontrando oportunidades.

Reflexiones finales

La aparición de nuevas variantes de Triada demuestra que el malware móvil ya no depende únicamente de engañar al usuario mediante aplicaciones falsas o enlaces sospechosos. Ahora el problema puede venir integrado desde el primer encendido del dispositivo.

El caso también refleja cómo la ciberseguridad depende cada vez más de procesos invisibles para el consumidor. La mayoría de usuarios jamás piensa quién desarrolla el firmware de su teléfono o qué empresas participan en la fabricación del sistema operativo. Sin embargo, ahí es precisamente donde se están produciendo algunas de las amenazas más complejas.

La seguridad móvil ya no consiste solo en instalar un antivirus o evitar páginas dudosas. También implica confiar en fabricantes que mantengan controles rigurosos sobre software, actualizaciones y cadena de suministro. En un mercado dominado por precios agresivos y producción masiva, mantener ese equilibrio resulta cada vez más complicado.