Aplicativos hay de todo tipo, pero ninguno permite acceder a los registros de llamadas de un número de teléfono a elección; sin embargo, personajes inescrupulosos ofrecen esa plataforma que al final, resulta ser una estafa. Así lo advierte una investigación de ESET que identificó 28 aplicaciones infractoras que aseguran ofrecer acceso a historiales de llamadas, registros de SMS e incluso logs de llamadas de WhatsApp para cualquier número de teléfono. De acuerdo con el informe, para desbloquear esta supuesta funcionalidad, se solicitaba un pago; sin embargo, lo único que se obtenía a cambio eran datos generados aleatoriamente.
La firma global de ciberseguridad denominó “CallPhantom” —en alusión a una funcionalidad inexistente— a estas aplicaciones disponibles en Google Play, que en conjunto superaron los 7,3 millones de descargas. Como socio de la App Defense Alliance, ESET reportó los hallazgos a Google que retiró de Google Play todas las aplicaciones identificadas en el informe. Al momento de la publicación, todas las apps reportadas ya habían sido eliminadas de la tienda.
Ejemplos de aplicaciones CallPhantom encontradas en Play Store
CÓMO OPERABA
El análisis de ESET reveló que los supuestos datos del “historial de llamadas” proporcionados por esta aplicación eran completamente falsos. La app generaba números telefónicos aleatorios y los combinaba con nombres, horarios y duraciones de llamadas predefinidos, incorporados directamente en el código. Esta información fraudulenta era mostrada a las víctimas solo después de realizar el pago.
Incluso, una captura de pantalla con estos historiales falsificados aparecía en la ficha de la aplicación en Google Play como supuesta demostración de su funcionamiento.
Capturas de pantalla de Google Play que parecen demostrar la funcionalidad; los registros se generan aleatoriamente a partir de datos codificados
A pesar de las diferencias visuales, todas las aplicaciones tenían el mismo propósito: generar datos falsos de comunicaciones y cobrar a las víctimas por acceder a ellos. La sección “Aplicaciones CallPhantom analizadas” detalla cada app identificada, junto con información clave, incluido su número de descargas.
Las aplicaciones CallPhantom detectadas estaban dirigidas principalmente a usuarios de Android en India y otros países de la región Asia-Pacífico. Muchas de estas apps tenían preseleccionado el código de país +91 de India y admitían pagos mediante UPI, sistema ampliamente utilizado en ese país. Además, acumulaban numerosas reseñas negativas de usuarios que denunciaban haber sido estafados y nunca recibir la información prometida.
Reseñas negativas de una de las aplicaciones fraudulentas
“No está claro cómo se distribuyeron o promocionaron las aplicaciones. Presumiblemente, al aparentar ofrecer acceso a información privada, los estafadores lograron aprovechar la curiosidad de los usuarios. Combinado con algunas reseñas positivas (falsas), pudo haber parecido una oferta atractiva.”, comentan desde el equipo de investigación de ESET.
LOS MÉTODOS DE PAGO
En las aplicaciones CallPhantom analizadas se identificaron tres métodos de pago distintos, dos de los cuales infringían las políticas de Google Play. En primer lugar, algunas apps utilizaban suscripciones a través del sistema oficial de facturación de Google Play, mecanismo exigido para las aplicaciones que ofrecen compras dentro de la app y que, además, están cubiertas por la política de reembolso de Google.
En segundo lugar, algunas aplicaciones recurrían a pagos mediante apps de terceros compatibles con UPI. En estos casos, las apps CallPhantom incluían URL codificadas directamente o las obtenían dinámicamente desde una base de datos en tiempo real de Firebase, lo que permitía a los operadores cambiar en cualquier momento la cuenta receptora de los pagos.
Finalmente, algunas aplicaciones incorporaban formularios de pago con tarjeta directamente dentro de la propia app.
Distintas opciones de pago utilizadas por las aplicaciones CallPhantom
“Nuestro análisis reveló que los ‘resultados’ mostrados a las víctimas eran completamente falsos y que, con frecuencia, utilizaban números indios codificados directamente, nombres predefinidos y marcas de tiempo generadas, presentadas como si fueran datos reales de comunicaciones. Los usuarios que se suscribieron a través del sistema oficial de facturación de Google Play pueden ser elegibles para reembolsos, de acuerdo con las políticas de Google. En cambio, las compras realizadas mediante aplicaciones de pago de terceros o a través del ingreso directo de datos de tarjetas no pueden ser reembolsadas por Google, lo que deja a los usuarios dependiendo de proveedores de pago externos o de los propios desarrolladores de las aplicaciones”, concluye el equipo de investigación de ESET.
PARA MUESTRA, UN BOTÓN
En noviembre de 2025, ESET analizó una aplicación disponible en Google Play llamada Call History of Any Number. La app aseguraba poder recuperar el historial de llamadas de cualquier número telefónico ingresado por el usuario. Aunque figuraba bajo el nombre de desarrollador Indian gov.in, no tenía ninguna vinculación real con el Gobierno de India.
Figura 1. Historial de llamadas de la aplicación Any Number en Google Play