- Más de 13.000 móviles Android nuevos salieron de fábrica con el malware Keenadu preinstalado, la mayoría detectados en Rusia.
- El virus se habría colado en la cadena de suministro, camuflado como componente legítimo del sistema, y afecta también a móviles vendidos en Alemania, Países Bajos, Japón y Brasil.
- Keenadu convierte los teléfonos en bots para fraude publicitario, pero también puede tomar control casi total del dispositivo y acceder a datos sensibles.
- El caso reabre en Europa el debate sobre controles de seguridad, auditorías de firmware y requisitos más estrictos para móviles Android importados.
La detección de un virus informático preinstalado en más de 13.000 móviles Android nuevos ha encendido todas las alarmas en el sector de la ciberseguridad. No se trata de descargas sospechosas ni de apps raras instaladas a posteriori, sino de dispositivos que llegan al usuario ya contaminados desde la propia cadena de producción.
Según una investigación llevada a cabo por la firma rusa Kaspersky Lab, el malware conocido como Keenadu se ha encontrado integrado en el sistema de miles de teléfonos recién salidos de fábrica. Lo inquietante es que los fabricantes implicados no tendrían constancia de la infección, lo que apunta a un problema serio en la cadena de suministro del ecosistema Android.
Más de 13.000 móviles nuevos afectados por Keenadu
Los datos recopilados por Kaspersky y compartidos con el diario ruso Védomosti apuntan a que al menos 13.000 smartphones Android nuevos llegaron al mercado con Keenadu ya integrado en el sistema operativo. De ellos, cerca de 9.000 dispositivos se habrían distribuido en Rusia, lo que convierte a ese país en el principal foco detectado hasta el momento.
El resto de terminales infectados se han localizado en distintos mercados internacionales. Casos documentados afectan a móviles vendidos en Alemania, Países Bajos, Japón y Brasil, lo que evidencia que el problema no se limita a un solo país ni a un único canal de venta, sino que podría estar ligado a componentes o procesos compartidos entre fabricantes y proveedores.
La compañía de seguridad subraya que no se trata de un fallo puntual de una marca concreta. Los terminales infectados corresponderían a distintos modelos y fabricantes, lo que refuerza la hipótesis de un ataque o compromiso en alguna fase común de la cadena de producción: desde el desarrollo de firmware hasta la carga de software de serie que acompaña a los dispositivos.
Para el consumidor medio, todo esto pasa completamente desapercibido. El usuario enciende el teléfono por primera vez y se encuentra con un móvil aparentemente normal, nuevo y sin signos de manipulación. Sin embargo, en segundo plano, el sistema ya incluye componentes maliciosos que no han sido instalados por el propietario y que pueden empezar a operar desde el primer arranque.
Desde la perspectiva europea, donde el uso de Android es mayoritario, episodios como este reabren el debate sobre los controles que deberían exigirse a los terminales que entran en el mercado comunitario. La cuestión ya no es solo qué apps instala el usuario, sino qué software llega soldado de fábrica al teléfono sin que nadie fuera de la cadena industrial lo haya revisado a fondo.
Un malware que se cuela en la cadena de suministro
Los analistas de Kaspersky sospechan que Keenadu logra integrarse en los terminales en algún punto intermedio entre la fabricación del hardware y la carga definitiva del sistema operativo. En ese tramo participan ensambladores, desarrolladores de firmware, proveedores de software de terceros y empresas que añaden capas de personalización o servicios previos a la venta.
El experto en ciberseguridad Dmitri Kalinin, de Kaspersky, explica que el malware se presenta ante el sistema como si fuera un componente legítimo. Es decir, adopta la apariencia de archivos o servicios que parecen formar parte del propio Android o de las personalizaciones del fabricante, lo que hace que pase inadvertido en revisiones superficiales y complique su detección por parte de las herramientas habituales.
Esta capacidad de camuflarse como software del sistema permite que el código malicioso se incruste en el terminal incluso antes de que el usuario configure su cuenta. Para quien abre la caja, el móvil funciona con relativa normalidad, pero en segundo plano ya se están ejecutando procesos no autorizados vinculados al malware, sin que haya pasado por la tienda de aplicaciones ni por una descarga manual.
Cuando un atacante logra comprometer uno de esos eslabones, obtiene una vía directa para distribuir malware a gran escala. En lugar de ir infectando dispositivos uno a uno, puede conseguir que miles de móviles salgan de fábrica ya contaminados, lo que multiplica tanto el impacto como los beneficios potenciales de la operación delictiva.
Qué hace Keenadu: fraude publicitario y control del dispositivo
Según la información difundida por Kaspersky, el objetivo prioritario de Keenadu es aprovechar la infraestructura de publicidad online con fines fraudulentos. Los teléfonos comprometidos pasan a actuar como bots que simulan ser usuarios reales, realizando clics en anuncios sin que el dueño del dispositivo note nada extraño.
En la práctica, esto significa que miles de móviles trabajan en segundo plano generando clics automáticos en campañas publicitarias, inflando cifras de tráfico y proporcionando ingresos ilícitos a los ciberdelincuentes. Las empresas afectadas pagan por una supuesta audiencia que, en realidad, son terminales infectados cumpliendo órdenes dentro de una red de bots.
Este tipo de esquema se ha consolidado como un negocio criminal extremadamente rentable. Cuantos más dispositivos forman parte de la botnet, más impresiones y clics pueden producir y, por tanto, mayores son los beneficios económicos. La posibilidad de introducir el malware en la fase de producción facilita una base de bots amplia y estable desde el primer día.
Sin embargo, el alcance de Keenadu va más allá del fraude publicitario. Los técnicos de Kaspersky advierten de que el malware puede llegar a tomar un control muy amplio sobre el dispositivo. En función de la configuración, es capaz de descargar otros módulos, ejecutar instrucciones remotas y acceder a información sensible almacenada en el teléfono.
Entre los datos potencialmente expuestos se encuentran contactos, mensajes, historiales de navegación, credenciales guardadas e incluso información vinculada a aplicaciones bancarias, siempre que el malware consiga los permisos necesarios. Aunque el uso principal detectado esté ligado a la publicidad, la existencia de una puerta trasera de este tipo abre la puerta a ataques mucho más agresivos en el futuro.
Impacto para usuarios en España y en el resto de Europa
En territorios como España, donde Android domina con claridad el mercado de los smartphones, un caso así tiene implicaciones que van más allá de los países donde ya se han localizado móviles infectados. La distribución global de componentes y firmware hace que un problema en la cadena de suministro pueda terminar afectando a terminales vendidos en cualquier punto de Europa.
De cara al usuario medio, el principal riesgo es que el dispositivo afectado funcione aparentemente bien. Es posible que los únicos indicios sean un aumento inusual en el consumo de datos, un uso excesivo de la batería o cierta lentitud, síntomas que muchos atribuirían a fallos normales del teléfono y no a la presencia de malware preinstalado.
La situación se complica cuando entran en juego importadores paralelos, tiendas poco conocidas u ofertas demasiado atractivas en móviles Android menos populares. En esos casos es más difícil garantizar que el terminal ha pasado por controles de seguridad rigurosos y que el firmware instalado es exactamente el proporcionado por el fabricante sin añadidos de terceros.
Para las empresas europeas, el problema es todavía más delicado. Un solo móvil con un malware de este tipo integrado de serie puede convertirse en una puerta de entrada a toda una red corporativa. Acceso al correo de trabajo, a plataformas internas o a herramientas de gestión desde un dispositivo comprometido multiplica los riesgos de fuga de información.
Todo ello refuerza la necesidad de que las organizaciones revisen sus políticas de compra y uso de terminales, estableciendo criterios estrictos sobre qué modelos se autorizan, de qué canales se adquieren y qué requisitos de actualización y auditoría deben cumplir los proveedores.
Presión regulatoria y controles en el ecosistema Android
El caso Keenadu encaja con lo que los especialistas denominan ataques a la cadena de suministro, una tendencia que preocupa cada vez más a la industria tecnológica. En lugar de ir directamente a por el usuario final, los atacantes apuntan a los proveedores intermedios que tocan el firmware o el software del sistema, confiando en que su código viaje después dentro de miles de dispositivos.
En el contexto de la Unión Europea, este tipo de incidencias alimenta el debate sobre la conveniencia de elevar los estándares de seguridad exigidos a los móviles que se comercializan en el mercado comunitario. Entre las medidas que se barajan en el sector están la certificación específica del software de sistema, revisiones independientes del firmware y controles aleatorios sobre terminales recién llegados a los canales oficiales.
Los fabricantes, por su parte, se ven presionados para supervisar con más rigor a todos los proveedores de componentes de software que se integran en cada modelo. Eso implica analizar con detalle cualquier app o servicio preinstalado, así como limitar la dependencia de terceros poco transparentes a la hora de añadir funciones o personalizaciones.
En un ecosistema tan fragmentado como Android, donde conviven múltiples capas de personalización, fabricantes y distribuidores, asegurar que todos los eslabones cumplen con buenas prácticas de ciberseguridad no es tarea sencilla. Sin embargo, el episodio de Keenadu demuestra que relajar estos controles tiene un coste real para usuarios y empresas.
Aunque el usuario final no pueda auditar por sí mismo el firmware de su terminal, una combinación de normativas más exigentes, certificaciones técnicas y presión del mercado puede forzar a la industria a elevar el listón de seguridad en los próximos años, especialmente en lo que respecta a software que viene instalado de serie.
Qué pueden hacer los usuarios frente a amenazas preinstaladas
Aunque la raíz del problema esté en la fabricación, los propietarios de móviles Android sí pueden adoptar ciertas medidas para reducir riesgos y detectar comportamientos extraños, especialmente en mercados como el español, donde la dependencia del smartphone es total en el día a día.
La primera recomendación es prestar atención al origen del dispositivo. Comprar móviles en tiendas oficiales, distribuidores reconocidos o canales con garantías claras reduce la probabilidad de topar con terminales manipulados o con firmware alterado por terceros. Las gangas de procedencia dudosa pueden salir caras si el teléfono llega con sorpresa.
También resulta aconsejable mantener el sistema operativo y las aplicaciones siempre actualizados. Aunque en el caso de un malware tan profundamente integrado no hay garantías absolutas, las actualizaciones de seguridad suelen corregir vulnerabilidades y cerrar puertas de entrada que otros códigos maliciosos podrían aprovechar.
Contar con una solución de seguridad de confianza instalada en el dispositivo puede ayudar a detectar comportamientos anómalos, conexiones sospechosas o procesos que no deberían estar activos. No es una defensa infalible, pero sí una capa adicional que, en muchos casos, permite destapar actividades maliciosas en segundo plano.
En entornos profesionales, las compañías tienen margen para dar un paso más y implantar políticas de movilidad estrictas. Entre otras medidas, se recomienda limitar los modelos autorizados, exigir compromisos claros de actualización y soporte de seguridad a los fabricantes y realizar auditorías aleatorias sobre dispositivos corporativos antes de ponerlos en manos de los empleados.
Todo lo ocurrido con Keenadu deja claro que la seguridad de un móvil no empieza cuando el usuario lo saca de la caja, sino mucho antes, en las decisiones que toman fabricantes, proveedores y reguladores sobre qué software viaja dentro de cada terminal. Mientras la industria refuerza la cadena de suministro y los organismos europeos ajustan sus exigencias, a los usuarios en España y en el resto del continente les toca extremar la precaución con el origen de sus dispositivos, mantenerlos al día y apoyarse en soluciones de seguridad fiables para reducir el impacto de un problema que, como se ha visto, puede venir de serie desde la propia fábrica.
