Los llamados "cloud phones" se están convirtiendo en una herramienta eficaz para esquivar los controles de seguridad de la banca móvil y facilitar fraudes que ya no dependen de un teléfono físico en manos del atacante.
El problema no está en una app concreta, sino en cómo los delincuentes están aprovechando dispositivos virtuales Android para parecer usuarios legítimos. Group-IB advierte de que esta táctica se está usando en estafas de Authorized Push Payment, un tipo de fraude en el que la propia víctima acaba autorizando la transferencia. La clave es que estos entornos virtuales pueden imitar muchos de los datos que hoy usan los bancos para decidir si una operación parece normal o sospechosa.
"sophisticated threat that is quietly reshaping the economics of digital fraud." - Group-IB, investigadores de ciberseguridad de Group-IB
Por qué esta técnica complica la seguridad bancaria
Durante los últimos años, muchas entidades han reforzado sus apps con sistemas de device fingerprinting. En la práctica, eso significa vincular una cuenta a un dispositivo concreto a partir de señales como el modelo, la marca, el hardware, la IP, la zona horaria, los sensores o ciertos patrones de comportamiento. Si alguien intenta entrar desde un móvil distinto o desde un entorno raro, el sistema puede pedir pasos extra o bloquear la operación.
El problema es que los "cloud phones" están diseñados precisamente para jugar con esas señales. Pueden configurarse para imitar IP, hardware, modelos de dispositivo, sensores y otros elementos de huella digital. Dicho de forma simple un atacante ya no necesita robar un teléfono real para parecerse al titular de la cuenta. Le basta con levantar un dispositivo virtual que encaje lo suficiente como para no disparar las alarmas iniciales.
Eso cambia bastante el escenario. Antes, las "phone farms" se asociaban sobre todo a inflar métricas en redes sociales. Ahora, esa misma lógica se está trasladando a fraudes bancarios y de criptomonedas. No es un cambio menor, porque convierte una infraestructura ya conocida en una herramienta con impacto directo en dinero real.
Cómo operan en la práctica y qué señales pueden delatarlos
Uno de los métodos descritos es el llamado "pre-warming". Consiste en registrar credenciales bancarias de personas en estos teléfonos virtuales y hacer pequeñas transacciones para que el dispositivo parezca habitual y menos arriesgado. En uso real, esto significa que un entorno preparado con tiempo puede resultar más creíble para los sistemas antifraude que un acceso brusco y aislado. Es una forma de "cocinar" la cuenta antes del golpe importante.
"Darknet markets now list pre-warmed dropper accounts with clean device telemetry for Revolut and Wise priced at $50–200 each for high-fraud utility," - Group-IB, investigadores de ciberseguridad de Group-IB
También se describe un mercado alrededor de estas prácticas. Eso sugiere que no hablamos de casos improvisados, sino de una operativa cada vez más empaquetada y accesible para otros grupos criminales. En Asia Central, además, Group-IB señala la existencia de canales y grupos donde se comercia con tarjetas bancarias.
"Concerning Central Asia, there are whole channels and groups on platforms like Telegram where people can buy bank cards from any bank in Uzbekistan." - Group-IB, investigadores de ciberseguridad de Group-IB
Para el usuario corriente, lo importante es entender el impacto si un banco confía demasiado en que una app móvil y la huella del dispositivo bastan para validar una sesión, un atacante con un "cloud phone" puede tener más margen para pasar desapercibido. No significa que todas las apps bancarias estén rotas ni que cualquier operación esté en riesgo, pero sí que una parte de las defensas modernas puede verse erosionada si el entorno virtual está bien preparado.
Group-IB apunta además varias señales que pueden ayudar a identificar este tipo de dispositivos. Entre ellas están la ausencia de aplicaciones que normalmente vendrían preinstaladas en un móvil real, la presencia temprana de herramientas de anonimización como VPN o proxies, y una cantidad anómala de apps bancarias o financieras en un solo dispositivo. A eso se suman otras incoherencias desajustes entre IP, zona horaria y ubicación, batería siempre al 100% y un dispositivo completamente inmóvil durante sesiones activas.
"Our team has also determined that by default, many normal applications are absent in cloud devices, sometimes, even those that are usually pre-installed in real devices. Fraudsters using cloud phones first install certain anonymization tools such as VPNs, or proxy applications or a single cloud device can have suspiciously high numbers of banking or financial applications." - Group-IB, investigadores de ciberseguridad de Group-IB
La lectura práctica es bastante clara. El fraude móvil ya no depende solo de robar credenciales, sino de simular con precisión el contexto digital del usuario. Para los bancos, eso obliga a mirar más allá del simple vínculo entre cuenta y dispositivo. Para los usuarios, recuerda que una transferencia autorizada bajo engaño sigue siendo una de las situaciones más difíciles de revertir. Y para cualquiera que pensara que la app del banco y el reconocimiento del móvil eran una barrera suficiente, este avance demuestra que ya no conviene darlo por sentado.