¿Cuáles son las señales más comunes de que alguien está rastreando mi teléfono?

Hola a todos. Últimamente me he sentido un poco mal con respecto a mi teléfono y, sinceramente, no sé por dónde empezar. La batería se agota más rápido de lo habitual, sobrecalentamiento aleatorio y algún ruido de fondo extraño durante las llamadas. ¿Alguien está rastreando mi teléfono sin mi permiso? Necesito respuestas reales. No sólo cosas genéricas. ¿Cuáles son las señales reales de que alguien está monitoreando o rastreando mi dispositivo y qué puedo hacer al respecto ahora mismo?

Muy bien hermano, de hecho me enfrenté a algo similar el año pasado y profundicé en esta madriguera de conejo, así que déjame analizarlo adecuadamente.

¿Están rastreando mi teléfono? Esto es lo que necesita saber

Si realmente le preocupa que alguien esté monitoreando su teléfono, existen señales técnicas reales que puede buscar. Este no es sólo territorio de paranoia. El rastreo de teléfonos sin permiso es más común de lo que la mayoría de la gente piensa y las señales son realmente detectables si sabes dónde buscar.

Drenaje inusual de la batería

Esta es la primera señal de alerta. Si la batería de su teléfono se está agotando mucho más rápido de lo normal y no ha cambiado sus hábitos de uso, algo se está ejecutando en segundo plano. El software de seguimiento, los registradores de ubicación y las herramientas de acceso remoto consumen batería porque envían datos constantemente.

Qué hacer ahora mismo:

  • Vaya a Configuración > Batería > Uso de la batería (Android) o Configuración > Batería > Estado de la batería (iPhone)
  • Busque aplicaciones que consuman batería y que no reconozca o que no haya abierto recientemente
  • Si una aplicación del sistema utiliza entre un 20 y un 30 % de batería de forma aleatoria, es sospechoso

El teléfono se calienta cuando está inactivo

Un teléfono colocado en su escritorio sin hacer nada no debería calentarse. Si es así, se está ejecutando activamente un proceso en segundo plano. Las herramientas de seguimiento a menudo cargan datos (ubicación, señales de micrófono, registros de llamadas) en segundo plano, lo que hace que el procesador trabaje más.

Comprobación rápida: coloca tu teléfono boca abajo, con la pantalla apagada, durante 10 minutos. Si hace calor después de eso, abra su administrador de tareas o aplicaciones recientes y busque algo que se esté ejecutando en silencio.

Ruidos extraños durante las llamadas

El eco, la estática, los clics o un leve zumbido de fondo durante las llamadas telefónicas a veces pueden indicar una interceptación de llamadas. Esto es menos común en las redes cifradas modernas, pero las vulnerabilidades del protocolo SS7 (utilizado en la infraestructura de telecomunicaciones heredada) aún pueden permitir el monitoreo de llamadas en ciertos escenarios.

Picos en el uso de datos

Ir a:

  • Android: Configuración > Red > Uso de datos
  • iPhone: Configuración > Datos móviles

Desplácese y busque aplicaciones que utilicen datos en segundo plano que no deberían. Una aplicación de linterna que utiliza 200 MB de datos de fondo es una señal de alerta. Las herramientas de seguimiento hacen ping periódicamente a los servidores para enviar su ubicación o datos de actividad.

Señales de que el teléfono está siendo rastreado a través de la ubicación

Si alguien ha instalado una aplicación de stalkerware, es probable que su GPS esté funcionando constantemente. Señales:

  • El ícono de ubicación permanece encendido incluso cuando no estás usando mapas
  • Permiso de ubicación otorgado a aplicaciones que nunca abriste
  • El teléfono tarda más en activarse (porque se está sondeando la ubicación)

En Android: Vaya a Configuración > Privacidad > Administrador de permisos > Ubicación. Revise todas las aplicaciones que tengan acceso permanente a la ubicación.
En iPhone: Configuración > Privacidad y seguridad > Servicios de ubicación. Cualquier cosa configurada como Siempre que no hayas aprobado personalmente es sospechosa.

Aplicaciones o perfiles desconocidos

En Android, consulte Configuración > Aplicaciones > Ver todas las aplicaciones. Busque cualquier cosa que no tenga íconos, descripciones claras o un nombre que suene como una aplicación del sistema pero que no lo sea (como “SystemService” o “PhoneManager”).

En iPhone: vaya a Configuración > General > VPN y administración de dispositivos. Si hay un perfil que usted no instaló, es una señal de alerta grave. Los perfiles corporativos de MDM pueden brindarle a alguien una visibilidad completa de su dispositivo.

Rendimiento lento y reinicios aleatorios

Si su teléfono se reinicia sin motivo o se retrasa durante las tareas que antes manejaba bien, es posible que un proceso en segundo plano esté acaparando recursos.

Lo que puedes hacer al instante

  1. Ejecute un escaneo con Malwarebytes (disponible gratis en Android e iOS)
  2. Revoque los permisos de aplicaciones sospechosas inmediatamente en Configuración de privacidad
  3. Verifique y elimine perfiles de administración de dispositivos desconocidos
  4. Desactive la ubicación de todas las aplicaciones temporalmente y vea si el comportamiento cambia
  5. El restablecimiento de fábrica es la opción nuclear, pero borra completamente el software de seguimiento si fallan otros pasos.

Tome estas señales en serio. No es necesario ser un experto en tecnología para comprobar estas cosas.

Sí, esto surge más de lo que la gente admite, es bueno que lo estés investigando.

Entonces SynapseVector121 cubrió bien los conceptos básicos. Quiero tomar una dirección diferente y hablar sobre las cosas que no se mencionan lo suficiente, porque las señales obvias son sólo una parte del panorama.

Indicadores de nivel de red

La mayoría de la gente sólo mira el dispositivo en sí. Pero la actividad de seguimiento también deja rastros a nivel de red.

Instale una aplicación llamada NetGuard (Android, gratuita, no se necesita root). Muestra cada conexión saliente que realiza su teléfono en tiempo real. Si una aplicación que nunca abriste se conecta a una dirección IP remota a las 3 a.m., algo anda mal. Puede bloquear conexiones por aplicación directamente desde el interior de la herramienta.

En iPhone, use la aplicación llamada Lockdown Privacy. Actúa como un firewall local y registra los rastreadores bloqueados. La versión gratuita es sólida.

Verifique su cuenta de Google o Apple en busca de dispositivos desconocidos

Ir a:

Si hay un dispositivo en la lista que no es suyo, alguien con sus credenciales puede tener acceso a su Find My, al historial de ubicaciones o a los datos de copia de seguridad de iCloud. Elimínelo inmediatamente y cambie su contraseña.

Busque puntos de acceso no autorizados

Si su teléfono está configurado para conectarse automáticamente a WiFi, puede ser interceptado mediante una técnica llamada ataque Evil Twin, donde una red WiFi falsa con el mismo nombre que una confiable engaña a su teléfono para que se conecte. Una vez conectado, se puede observar todo el tráfico no cifrado.

Solución: desactive la conexión automática para WiFi. Configuración > WiFi > Redes guardadas y elimina las redes que no utilices activamente.

Abuso de ADB (puente de depuración de Android)

Si usa Android y alguna vez conectó su teléfono a una computadora mediante USB, es posible que las opciones de desarrollador se hayan habilitado sin su conocimiento. ADB permite acceso de lectura completo a su teléfono cuando está conectado.

Verifique: Configuración> Opciones de desarrollador (puede estar oculto). Si está habilitado y no lo activaste, desactívalo. También desactive la depuración USB a menos que la necesite específicamente.

Captadores IMSI (rayas)

Éste es más avanzado. Las fuerzas del orden y algunos malos actores utilizan dispositivos llamados receptores IMSI (o Stingrays) que simulan ser torres de telefonía móvil. Su teléfono se conecta a ellos y el dispositivo captura los metadatos de las llamadas, el contenido de los SMS y la ubicación.

No puedes detener esto con la configuración habitual, pero la aplicación AIMSICD (Android, código abierto) puede detectar comportamientos inusuales de las torres de telefonía móvil que podrían indicar que hay una torre falsa cerca.

Intercambio de SIM como método de seguimiento

El fraude de intercambio de SIM ocurre cuando alguien convence a su operador para que transfiera su número a su SIM. Una vez que tengan su número, podrán recibir sus llamadas, mensajes de texto y códigos 2FA. Señales: Pérdida repentina del servicio celular, no se pueden realizar llamadas, el operador envía un mensaje sobre el cambio de SIM.

Bien, las dos respuestas anteriores son sólidas, permítanme agregar la capa técnica que la mayoría de los hilos omiten.

El aspecto técnico del seguimiento telefónico que realmente debes comprender

Me voy a poner un poco nerd aquí, pero lo mantendré legible.

Cómo funciona realmente el software de seguimiento a nivel del sistema operativo

La mayoría del stalkerware comercial funciona abusando de los servicios de accesibilidad de Android o de los perfiles de configuración de iOS. En Android, los Servicios de Accesibilidad se diseñaron para lectores de pantalla, pero brindan a una aplicación una visibilidad casi completa de todo lo que aparece en la pantalla, incluidas las contraseñas escritas, los mensajes leídos y las aplicaciones abiertas.

Verifique esto ahora mismo: Configuración > Accesibilidad > Servicios instalados (o Aplicaciones descargadas según la versión de Android). Si ve una aplicación en esa lista que no instaló por razones de accesibilidad, eso es un problema.

Explotaciones y enraizamiento a nivel de kernel

Algunas herramientas de seguimiento avanzadas requieren acceso de root (Android) o jailbreak (iOS). Un teléfono rooteado o liberado no tiene protecciones de espacio aislado, lo que significa que cualquier aplicación instalada puede acceder a archivos del sistema, registros de llamadas, GPS y micrófono a voluntad.

Cómo comprobar si tu Android está rooteado:

  • Descargue Root Checker desde Play Store. Un toque y te lo dice.
  • Si estás rooteado y no lo hiciste tú mismo, el restablecimiento completo de fábrica es la única solución real.

Para iPhone: si la aplicación Cydia o Sileo está presente en su pantalla de inicio, su teléfono tiene jailbreak. Consulte también Configuración > General > VPN y administración de dispositivos para ver perfiles no autorizados.

Cómo funciona la triangulación de torres de telefonía móvil

Incluso sin el GPS activado, su teléfono se conecta constantemente a torres de telefonía móvil. Los transportistas pueden triangular su posición dentro de 50 a 300 metros dependiendo de la densidad de la torre utilizando las matemáticas de diferencia horaria de llegada (TDOA). Los operadores, las fuerzas del orden con una orden judicial pueden acceder a estos datos o explotarlos mediante ataques SS7.

Básicamente, no existe una solución para el consumidor para esto. Está integrado en el funcionamiento de las redes celulares. Una VPN no te protege de esto. La única mitigación parcial es utilizar llamadas WiFi y desactivar la tarjeta SIM cuando no esté en uso, lo cual no es práctico para la mayoría de las personas.

Fuga de metadatos de fotos y mensajes

Cada foto tomada con su teléfono contiene metadatos EXIF, incluidas las coordenadas GPS del lugar donde se tomó. Si envías una foto a alguien, podrá abrir esos metadatos y ver exactamente dónde estabas.

Solución: en Android, use una herramienta llamada Scrambled Exif para eliminar los metadatos antes de compartirlos. En iPhone, vaya a Configuración > Privacidad y seguridad > Servicios de ubicación > Cámara y configúrelo en Nunca si no desea que se incorpore la ubicación.

Seguimiento de Bluetooth

Los rastreadores AirTags y Tile se pueden utilizar para rastrearlo físicamente. Apple tiene alertas integradas para AirTags desconocidos que se mueven contigo. Los usuarios de Android pueden instalar la aplicación Tracker Detect de Apple directamente, que busca AirTags cercanos.

También consulte su lista de dispositivos emparejados por Bluetooth para ver si hay algo que no reconozca.

Fugas de DNS y monitoreo de red

Si alguien está en el mismo WiFi que usted (red doméstica), puede usar herramientas como Wireshark para capturar tráfico no cifrado. Utilice siempre una VPN confiable en redes públicas o compartidas. También cambie el DNS de su enrutador doméstico a uno que respete la privacidad como 1.1.1.1 (Cloudflare) o 9.9.9.9 (Quad9), que también bloquea dominios de malware conocidos.

Se trata más bien de una protección pasiva, pero cierra un vector de ataque real que la gente ignora.

Honestamente, tanto SynapseVector como ByteNavigator lo lograron. Sólo quiero agregar algunas cosas desde el punto de vista de la seguridad que vale la pena conocer.

El perfil del dispositivo que ByteNavigator mencionó en el iPhone está muy subestimado como vector de amenaza. La mayoría de las personas nunca revisan esa sección de su configuración en toda su vida. He visto casos en los que alguien le entregó su teléfono a un compañero de trabajo para “arreglar algo” y se instaló un perfil en menos de 60 segundos. Ese perfil puede enrutar todo el tráfico a través de un proxy que controla el atacante, ver todos los sitios web visitados e interceptar el tráfico de aplicaciones no cifradas.

Mantenga siempre físicamente su teléfono con usted. En serio. Parece obvio, pero la mayoría de los casos de seguimiento comienzan con unos minutos de acceso no supervisado.

Una cosa que quiero agregar al punto de fluxstellar sobre los servicios de accesibilidad: en las versiones más nuevas de Android (12 y superiores), Google agregó un panel de privacidad. Vaya a Configuración > Privacidad > Panel de privacidad. Muestra una línea de tiempo de 24 horas de qué aplicaciones accedieron a su ubicación, micrófono y cámara. Si ve que algo accedió al micrófono a las 2 a.m. mientras el teléfono estaba en su mesa de noche, esa es su respuesta.

También vale la pena mencionar: verifique su acceso a notificaciones. Configuración > Aplicaciones > Acceso a aplicaciones especiales > Acceso a notificaciones. Las aplicaciones con este permiso pueden leer todas las notificaciones que reciba, incluidas vistas previas de mensajes, códigos OTP y alertas. Se trata de un enorme punto de acceso a datos en el que la gente nunca piensa.

Para cualquier persona con Android que desee una auditoría más agresiva, la aplicación llamada Certo Mobile Security realiza un análisis decente específicamente en busca de stalkerware y aplicaciones de seguimiento ocultas. Se diferencia de las herramientas antivirus generales porque se basa en esta categoría de amenaza específica.

Y por amor a todo, habilite un PIN de pantalla de bloqueo seguro si no lo tiene. Los patrones de bloqueo se pueden reconstruir a partir de manchas en la pantalla. Utilice un PIN mínimo de 6 dígitos o alfanumérico.

Vengo de esto desde la perspectiva de un padre, porque en realidad pasé por esto desde el otro lado de la mesa.

Mi adolescente vino a verme preocupado porque estaban monitoreando su teléfono y me di cuenta de que había configurado Family Link en su dispositivo hace años y nunca se lo había dicho correctamente. Entonces, a veces el seguimiento proviene de un miembro de la familia que configuró algo y olvidó mencionarlo, o el niño creció y el control parental todavía está funcionando.

Pero eso también significa que sé exactamente cómo se ven estas herramientas desde el lado del administrador, así que déjame decirte qué verificar.

Aplicaciones de control parental y monitoreo familiar para verificar

Estas son aplicaciones legítimas, pero pueden ser utilizadas indebidamente por un socio controlador o un miembro de la familia sin consentimiento:

  • Google Family Link: aparece en Configuración > Cuentas como una cuenta supervisada. Si tu cuenta de Google dice “Supervisado por [alguien]”, estás siendo monitoreado a través de Family Link.
  • Life360: se muestra como una aplicación normal pero ejecuta seguimiento de ubicación las 24 horas del día, los 7 días de la semana. Verifique sus aplicaciones instaladas.
  • Buscar a mis amigos (Apple): verifique la configuración para compartir su ID de Apple. Configuración > [Tu nombre] > Buscar mi > Compartir mi ubicación muestra quién puede verte.

Si eres un adulto y alguien los instaló sin avisarte, se trata de una cuestión de consentimiento, independientemente de quiénes sean.

Qué hacer si se trata de alguien que conoces

Esto es delicado. Si sospecha que su pareja, padre o compañero de cuarto lo está rastreando sin su consentimiento:

  • Documenta lo que encuentres antes de retirarlo. Capturas de pantalla de aplicaciones, configuraciones, uso de datos.
  • Póngase en contacto con una organización de seguridad digital como el proyecto Safety Net de NNEDV (Red Nacional para Acabar con la Violencia Doméstica) si se siente inseguro. Tienen especialistas en seguridad tecnológica.
  • No alertar a la persona antes de tener un plan de seguridad en marcha.

Eliminar el software de seguimiento sin pensar primero en la situación a veces puede empeorar las cosas. Piénselo bien.

Todo el material técnico que otros mencionaron es preciso. Pero el lado humano de esto también importa. ¿Quién ha tenido acceso a tu teléfono? ¿Quién tendría motivos para vigilarte? Esa pregunta a menudo le indica la respuesta correcta más rápido que cualquier análisis de aplicación.

Déjame decirte algo, lo que mencionó Fluxstellar sobre SS7 es realmente una de las partes más aterradoras de todo esto porque, literalmente, no hay nada que tú, como usuario habitual, puedas hacer al respecto a nivel de operador.

SS7 (Sistema de señalización 7) es el protocolo que utilizan básicamente todas las redes de telecomunicaciones globales para coordinarse. Fue diseñado en 1975 y la seguridad nunca fue realmente la prioridad. Un atacante con acceso a un nodo SS7 (expertos en telecomunicaciones, actores estatales, algunos grupos criminales) puede:

  • Desvía tus llamadas a otro número de forma silenciosa
  • Obtenga su ubicación GPS en tiempo real del operador sin tocar su dispositivo
  • Intercepta mensajes SMS antes de que lleguen a tu teléfono

Esta es la razón por la que los profesionales de la seguridad consideran que la autenticación de dos factores basada en SMS es débil. Sus SMS se pueden capturar en la capa de red incluso antes de que lleguen a su dispositivo.

Cosas prácticas que puedes hacer en respuesta:

  1. Cambie de SMS 2FA a un autenticador basado en aplicaciones. Google Authenticator, Aegis (código abierto de Android, muy bueno) o Authy funcionan sin SMS.

  2. Utilice mensajería cifrada de extremo a extremo. La señal es el estándar de oro. WhatsApp también utiliza el protocolo Signal, pero Meta tiene acceso a los metadatos. Para máxima privacidad, Signal en ambos extremos.

  3. Para llamadas, Signal también ofrece llamadas cifradas. Si tiene motivos para preocuparse por la interceptación de llamadas, utilice las llamadas de Signal en lugar de las llamadas telefónicas normales.

  4. Habilite la Protección de datos avanzada en iPhone (Configuración > [Su nombre] > iCloud > Protección de datos avanzada). Esto cifra tus copias de seguridad de iCloud de extremo a extremo para que ni siquiera Apple pueda leerlas.

  5. En Android, utilice el Programa de protección avanzada de Google si tiene un modelo de amenaza fuerte.

Nada de esto detiene un compromiso a nivel de dispositivo, pero sí cierra bastante bien el ángulo de interceptación de la red.

Si eres una persona normal y no haces nada delicado, la amenaza SS7 es baja. Es sobre todo relevante para periodistas, activistas, personas en situaciones de abuso u objetivos de alto valor. Para la mayoría de las personas, la amenaza es mucho más mundana: una aplicación con demasiados permisos o un miembro de la familia con acceso a la cuenta.

Quiere agregar algo que aún no ha aparecido.

Mucha gente se centra en aplicaciones y software, pero pasa por alto por completo el ángulo de sincronización de cuentas. Si alguien conoce su contraseña de Google o Apple, no necesita instalar nada en su teléfono.

El acceso a la cuenta de Google le brinda a alguien:

  • Tu historial de ubicaciones (Línea de tiempo en Google Maps)
  • Cada búsqueda que has realizado
  • Contenido de Gmail
  • Google Fotos incluidos metadatos
  • Historial de navegación de Chrome sincronizado entre dispositivos
  • Archivos de Google Drive

El acceso a la cuenta de Apple le brinda a alguien:

  • Fotos de iCloud
  • Copias de seguridad de iMessage (si la copia de seguridad de iCloud está activada)
  • Ubicación a través de Buscar mi
  • Notas, Contactos, Historial de Safari

Así que esto es lo que haría primero antes incluso de mirar el dispositivo:

Paso 1: vaya a account.google.com/security o appleid.apple.com. Consulte la sección “Último inicio de sesión” y la lista de dispositivos.

Paso 2: observe la actividad reciente de la cuenta. Gmail tiene un enlace “Última actividad de la cuenta” en la parte inferior de la bandeja de entrada. Haz clic en él. Muestra cada dirección IP que accedió a su cuenta.

Paso 3: cambia tus contraseñas. Utilice un administrador de contraseñas como Bitwarden (gratuito y de código abierto) para generar una contraseña única y segura para cada cuenta.

Paso 4: primero habilite 2FA en su cuenta de correo electrónico. El correo electrónico es la llave maestra para todo lo demás. Si alguien tiene su correo electrónico, puede restablecer las contraseñas de todos los demás servicios.

Paso 5: verifique las aplicaciones de terceros conectadas en las cuentas de Google y Apple. Algunas de esas aplicaciones tienen amplio acceso de lectura a sus datos y la gente olvida que las instalaron hace años.

Toda esta auditoría a nivel de cuenta dura unos 20 minutos y cierra uno de los vectores de seguimiento más grandes y más pasados ​​por alto que existen.

Además, sobre el tema de las copias de seguridad en la nube: si compartes una cuenta de iCloud o Google con un miembro de la familia (esto solía ser común en los planes familiares compartidos), este puede acceder a tus datos de copia de seguridad. Asegúrese de que su ID de Apple y su cuenta de Google sean personales y no compartidas.

Bien, trabajo en seguridad móvil y quiero agregar algunas cosas para las personas con más inclinaciones técnicas que leen este hilo.

Pasos de auditoría profunda de Android

Si se siente cómodo con adb (Android Debug Bridge), esto le brinda una visibilidad que ninguna aplicación puede ocultar:

Conecte su teléfono a una computadora con la depuración USB activada, instale ADB en su máquina y luego ejecute:

adb shell pm lista de paquetes -f

Esto enumera todos los paquetes instalados, incluidas las aplicaciones ocultas a nivel del sistema. Haga referencia cruzada a cualquier nombre de paquete desconocido. El stalkerware a menudo se disfraza de paquete del sistema, pero el nombre del paquete será inusual.

Ejecute también:

servicios de actividad adb shell dumpsys

Esto muestra todos los servicios en segundo plano en ejecución. El software de seguimiento casi siempre aparece aquí porque se ejecuta como un servicio persistente.

Comprobación de perfiles VPN no autorizados

Algunas herramientas de seguimiento dirigen todo el tráfico a través de una VPN de seguimiento sin mostrarlo claramente. En Android: Configuración > Red > VPN. En iPhone: Configuración > General > VPN y administración de dispositivos > VPN.

Si hay una VPN activa que no configuraste, todo tu tráfico se enruta a través del servidor de otra persona.

Omisión de fijación de certificado HTTPS

Los atacantes más avanzados pueden instalar un certificado raíz personalizado en su dispositivo, lo que les permite realizar un ataque de intermediario en el tráfico HTTPS. Normalmente, HTTPS es seguro porque su dispositivo solo confía en autoridades de certificación conocidas. Pero si se agrega un certificado incorrecto a su tienda de confianza, un atacante puede descifrar su tráfico HTTPS.

En Android: Configuración > Seguridad > Cifrado y credenciales > Credenciales confiables > pestaña Usuario. Si hay certificados en la pestaña Usuario que no instaló, elimínelos.

En iPhone: Configuración > General > Acerca de > Configuración de confianza del certificado. Cualquier certificado enumerado aquí que no haya aprobado manualmente debe tratarse como sospechoso.

Análisis de tráfico de red sin raíz

Instale PCAPdroid en Android. No requiere root y puede capturar todo el tráfico de red desde su dispositivo a un archivo que puede analizar. Abra el archivo pcap en Wireshark en una computadora y busque conexiones a direcciones IP o dominios inusuales, especialmente durante los períodos de inactividad.