Configurar Android seguro empieza por tres ajustes que la mayoría de usuarios ignora: bloqueo biométrico robusto, permisos por aplicación y cifrado activo. La seguridad Android no depende de instalar veinte apps milagrosas, sino de tocar las palancas correctas dentro del propio sistema. Google publica parches mensuales, pero según estimaciones recientes del Android Security Bulletin, una parte considerable de dispositivos sigue ejecutando versiones con CVEs conocidos como el CVE-2024-43093 (escalada de privilegios en el framework). Esta guía revisa los ajustes Android privacidad que importan, las apps que merecen sitio en tu cajón y las que solo ocupan batería. Sin humo, sin "descarga este antivirus que te salva la vida". Solo lo que funciona para proteger tu móvil Android frente a phishing, malware y filtraciones.
Ajustes nativos que deberías tocar el primer día
Android trae más herramientas de seguridad de las que parece. El problema es que vienen escondidas tres submenús abajo. Estos son los imprescindibles para configurar Android seguro sin instalar nada extra.
- Bloqueo de pantalla con PIN de 6+ dígitos o contraseña. El patrón es vulnerable a smudge attacks (rastros de dedos en la pantalla). La huella y el reconocimiento facial son cómodos, pero como respaldo siempre hay un PIN: que no sea 123456 ni tu fecha de nacimiento.
- Find My Device activado. Ajustes > Google > Encontrar mi dispositivo. Permite localizar, bloquear y borrar el móvil en remoto si lo pierdes.
- Google Play Protect en modo análisis mejorado. Escanea apps instaladas y detecta comportamientos anómalos. No es perfecto, pero filtra aproximadamente el 90% de basura.
- Actualizaciones automáticas del sistema. Los parches de seguridad mensuales corrigen vulnerabilidades activas. Posponerlos es regalar la puerta abierta.
- Cifrado del dispositivo. Activado por defecto en Android 10+, pero conviene verificarlo en Ajustes > Seguridad > Cifrado.
Si tu fabricante (Samsung, Xiaomi, Oppo) añade su propia capa de seguridad —Samsung Knox, MIUI Security— actívala. Suele incluir carpeta segura, escáner de wifi y bloqueo de apps por biometría. Mantener el software al día va de la mano con esta configuración: si te interesa el porqué, échale un vistazo a nuestra guía sobre por qué actualizar el software es tu mejor defensa.
Permisos: el campo de batalla real de la privacidad
Cada app que instalas pide permisos. Muchos son legítimos. Otros son una extracción descarada de datos. Ajustes > Privacidad > Administrador de permisos te muestra qué apps acceden a qué.
Revisa especialmente estos tres:
- Ubicación. Pásala a "Solo mientras se usa la app" o "Preguntar siempre". Una app de linterna no necesita saber dónde estás.
- Micrófono y cámara. Android 12+ muestra un punto verde en la barra de estado cuando alguien los usa. Si aparece sin que hayas abierto nada, investiga.
- Acceso a archivos y fotos. Desde Android 13, puedes dar acceso solo a fotos seleccionadas en lugar de toda la galería. Úsalo.
El Privacy Dashboard (Ajustes > Privacidad > Panel de privacidad) muestra un timeline de las últimas 24 horas: qué app accedió a tu micro, cámara o ubicación y cuándo. Sorprende lo que descubres. Si una linterna gratuita lleva 14 accesos a tu ubicación en un día, ya sabes qué borrar.
| Permiso | Riesgo si se concede sin criterio | Recomendación |
|---|---|---|
| Accesibilidad | Lectura de pantalla, captura de credenciales | Solo apps de confianza absoluta |
| Administrador del dispositivo | Bloqueo y borrado del móvil | Solo apps de MDM corporativo o Find My Device |
| Mostrar sobre otras apps | Overlay attacks (capturar PINs) | Revisa cuáles lo tienen activo |
| SMS | Robo de códigos 2FA | Niégalo salvo a tu app de SMS predeterminada |
Apps esenciales para reforzar la seguridad
El catálogo de apps "antivirus" en Play Store es mayoritariamente humo, telemetría agresiva y publicidad. Estas pocas sí aportan valor real para proteger un móvil Android:
- Bitwarden o 1Password: gestor de contraseñas con autorrelleno nativo en Android. Sustituye al "guardar contraseña" del navegador, que es un colador.
- Aegis Authenticator: 2FA TOTP de código abierto, con backup cifrado local. Mejor que Google Authenticator porque exporta sin atarte a un ecosistema.
- NetGuard o RethinkDNS: firewall sin root que bloquea conexiones de apps a dominios sospechosos. Útil para detectar apps que llaman a servidores raros.
- Mullvad VPN o ProtonVPN: VPN con políticas de no-logs verificadas por auditorías independientes. Las VPN gratuitas suelen vender tu tráfico.
- Signal: mensajería cifrada extremo a extremo por defecto. Si te interesa cómo se compara con alternativas, tenemos un análisis sobre privacidad en WhatsApp, Telegram y Signal.
- Have I Been Pwned (web): no es app, pero conviene consultarlo cada pocos meses. Te dice si tu email apareció en alguna brecha pública.
Para verificar APKs descargados fuera de Play Store, sube el archivo a VirusTotal antes de instalar. Detecta firmas de malware con más de 70 motores antivirus simultáneos.
Phishing y SMS fraudulentos: la amenaza diaria
El smishing (phishing por SMS) supera ya al phishing tradicional por email en volumen, según datos del INCIBE de 2025. El patrón es siempre similar: aviso falso de Correos, paquete pendiente, multa de la DGT, problema con tu cuenta bancaria. Enlace acortado. Pánico inducido.
Señales claras de fraude:
- Remitente desconocido o número corto extraño
- Urgencia artificial ("48 horas para responder")
- Enlaces con dominios raros (correos-pago.info en lugar de correos.es)
- Petición de datos bancarios o instalación de "app oficial"
Android 14 incorpora protección contra SMS premium fraudulentos y bloquea instalaciones de fuentes desconocidas durante llamadas activas (defensa contra ingeniería social telefónica). Activa "Protección de llamadas" en Ajustes > Seguridad y privacidad.
Si has caído en un enlace y has introducido datos, actúa rápido: cambia contraseñas afectadas, contacta con tu banco y revisa qué hacer en una brecha de datos. Denunciar el SMS al 7726 (servicio de la operadora) ayuda a tumbar la campaña.
Higiene digital: hábitos que valen más que cualquier app
La mejor configuración del mundo no compensa hábitos descuidados. Estos son los puntos que separan a un usuario seguro de uno expuesto:
- Descarga apps solo de Google Play o F-Droid. APKs de webs random son la principal vía de entrada de troyanos bancarios como Anatsa o BRATA.
- Revisa permisos cada 3 meses. Lo que aceptaste hace un año puede haber cambiado de manos.
- Desinstala apps que no usas. Cada app es superficie de ataque. Menos apps, menos riesgo.
- Wifi públicas con VPN o evítalas para banca. El cifrado HTTPS ayuda, pero no es bala de plata.
- Backup cifrado en Google One con clave personal o local en disco externo. Si pierdes el móvil, no pierdes la vida digital.
- Limpia tu rastro antes de vender o reciclar el móvil: factory reset + sobreescritura. Y revisa cómo borrar datos de redes sociales asociadas.
Para entornos profesionales o autónomos que gestionan datos sensibles desde el móvil, una app móvil con seguridad pensada desde el diseño marca la diferencia frente a soluciones genéricas. Y si manejas mucha información de clientes, conviene revisar el cumplimiento RGPD de tus herramientas.
Recursos externos útiles
Más allá del propio móvil, estos blogs complementan bien el ecosistema doméstico digital: facilparatodos para tutoriales generales y domóticaya para integraciones con dispositivos del hogar (que también son superficie de ataque, dicho sea de paso).
Preguntas frecuentes
¿Necesito un antivirus en Android?
Google Play Protect ya escanea apps en tiempo real. Para usuarios normales que descargan solo de Play Store, un antivirus adicional aporta poco. Si instalas APKs externos con frecuencia, una solución como Bitdefender Mobile Security o Malwarebytes tiene sentido. La mayoría de "antivirus gratis" del top de Play Store son adware encubierto.
¿Es seguro el reconocimiento facial de Android?
Depende del modelo. Los móviles con sensor 3D dedicado (Pixel 8 Pro, algunos Samsung Ultra) ofrecen seguridad equivalente a la huella. Los que usan solo la cámara frontal 2D pueden engañarse con fotos. Para pagos y banca, exige siempre huella o PIN como respaldo.
¿Qué hago si pierdo el móvil con apps bancarias instaladas?
Entra en android.com/find desde otro dispositivo y bloquea el móvil. Llama a tu banco para anular acceso a la app y cambia las contraseñas de servicios críticos. Si tenías 2FA por SMS, contacta con tu operadora para bloquear la SIM. La biometría protege la app, pero no asumas que es invulnerable.
¿Las VPN gratuitas son seguras?
Mayoritariamente no. Según estudios académicos (CSIRO 2017, repetidos en 2023), un porcentaje alto contenían malware o vendían datos de navegación. Si necesitas VPN, paga unos pocos euros al mes por una con auditorías externas: Mullvad, ProtonVPN o IVPN son opciones con buena reputación.
¿Cada cuánto debo actualizar Android?
En cuanto llegue el aviso. Los parches mensuales tapan vulnerabilidades que ya están siendo explotadas en estado salvaje. Posponerlos un mes te deja expuesto a CVEs documentados públicamente. Si tu fabricante ya no envía actualizaciones (más de 3 años desde lanzamiento), valora cambiar de móvil o instalar LineageOS si tu modelo está soportado.
El siguiente paso
Coge el móvil ahora mismo, ve a Ajustes > Privacidad > Panel de privacidad y revisa qué apps han accedido a tu ubicación, micrófono o cámara en las últimas 24 horas. Desinstala cualquier app que no reconozcas o cuyo acceso te sorprenda. Diez minutos de revisión valen más que diez antivirus instalados.
