El FBI emitió esta semana un aviso público que debería poner en alerta a cualquiera que use su teléfono como centro de vida digital: las aplicaciones desarrolladas fuera de Estados Unidos, y en particular las originadas en China, pueden suponer riesgos reales para la privacidad y la seguridad de los datos personales. No se trata de una campaña de pánico, sino de una llamada a la precaución sobre cómo esas aplicaciones recopilan, almacenan y, en algunos casos, comparten información sensible.
En su comunicado publicado en la plataforma del Internet Crime Complaint Center (IC3), la agencia recuerda que muchas de las aplicaciones más descargadas y rentables en el mercado estadounidense son creadas y mantenidas por empresas extranjeras. El punto central del aviso es que los marcos legales y técnicos de otros países pueden permitir al Estado acceder a datos que, cuando están alojados o procesados allí, quedan fuera del control directo de quienes los generan. El FBI expone que, según las políticas de privacidad de varias aplicaciones, los datos recopilados pueden residir en servidores localizados en el extranjero y permanecer allí «el tiempo que los desarrolladores consideren necesario»; además, algunas plataformas condicionan su funcionamiento a que el usuario acepte compartición amplia de esa información. Puede leerse el comunicado íntegro en la web del IC3: https://www.ic3.gov/PSA/2026/PSA260331.
¿Cuáles son los riesgos concretos? El FBI advierte sobre prácticas observadas en diversas aplicaciones que incluyen recolección continua de datos incluso cuando el usuario ha limitado los permisos a «solo mientras la app está activa», acceso predeterminado a la agenda de contactos (con nombres, teléfonos y correos), y almacenamiento de información de identificación en servidores que podrían estar sujetos a legislaciones nacionales distintas a las leyes de privacidad estadounidenses. Esas circunstancias elevan la posibilidad de que los datos sean utilizados con fines que los usuarios no aprobaron explícitamente.
Este aviso llega en un contexto político y regulatorio ya tenso: en paralelo a las preocupaciones sobre flujo de datos, en 2026 se concretó una reestructuración operativa de TikTok en Estados Unidos, que buscó evitar una prohibición mediante la transferencia de control operativo a una empresa conjunta mayoritariamente estadounidense, según informó Reuters. Episodios como ese muestran que las inquietudes sobre seguridad nacional y datos no son solo hipotéticas, sino que influyen en decisiones empresariales y legislativas.
Al explicar por qué los gobiernos pueden exigir acceso, los expertos suelen señalar que muchas jurisdicciones cuentan con normas de inteligencia o seguridad nacional que facultan a las autoridades a solicitar cooperación a empresas tecnológicas. Esa posibilidad no implica necesariamente que todas las apps originarias de un país sean maliciosas, pero sí introduce un vector de riesgo adicional que los usuarios y las organizaciones deben evaluar.
Desde el punto de vista práctico, hay hábitos sencillos y efectivos para reducir la exposición: revisar y limitar permisos de forma consciente, evitar instalar aplicaciones desde fuentes no oficiales, mantener el sistema operativo y las apps actualizados, y vigilar el comportamiento inusual del dispositivo o de las cuentas vinculadas. También merece la pena aprovechar las herramientas que ofrecen las plataformas para conocer qué datos recoge una app: por ejemplo, Apple publica etiquetas de privacidad en la App Store y Google exige a los desarrolladores declarar sus prácticas en la sección “Data safety” de Google Play. Más información sobre esas herramientas está disponible en las páginas oficiales de Apple y Google: Apple - App Privacy y Google Play - Data safety.
En materia de contraseñas, el FBI sugiere cambiarlas con regularidad, pero los especialistas en seguridad recomiendan un enfoque más moderno: usar un gestor de contraseñas para generar y almacenar credenciales únicas y robustas, y activar la autenticación de dos factores siempre que sea posible. Entre los gestores más conocidos están Bitwarden y 1Password, que facilitan crear contraseñas complejas sin depender de la memoria y reducen el riesgo de reutilizar credenciales.
No todo el problema es exclusivo de jurisdicciones o empresas concretas: la arquitectura técnica de móviles y permisos ha evolucionado para dar mayor control al usuario, pero la realidad demuestra que muchas aplicaciones aún piden más acceso del necesario o recogen información con configuraciones por defecto demasiado permissivas. Además, la forma en que esas aplicaciones gestionan los datos —qué conservan, durante cuánto tiempo y con quiénes los comparten— suele estar documentada en políticas que pocos leen y que no siempre son fáciles de interpretar.
Si sospecha que una app ha comprometido su información personal o detecta actividad extraña vinculada a una aplicación extranjera, el FBI solicita que lo denuncie a través de la plataforma IC3. También es recomendable cerrar sesión en servicios importantes, comprobar movimientos en cuentas bancarias y tarjetas, cambiar contraseñas con un gestor seguro, y, en caso de una afectación relevante, consultar con el proveedor del servicio o con un profesional en ciberseguridad.
En paralelo a las recomendaciones individuales, hay un debate más amplio sobre transparencia y controles: algunas propuestas regulatorias apuestan por auditorías independientes, requisitos de localización de datos o estructuras de control que eviten la influencia estatal en operaciones críticas de plataformas globales. La experiencia muestra que las soluciones técnicas, legales y comerciales deben combinarse para mitigar riesgos sin cortar de raíz la innovación o la competencia internacional.
En resumen, la advertencia del FBI no es una invitación a eliminar por decreto todas las apps desarrolladas fuera de EE. UU., sino un recordatorio de que debemos gestionar activamente nuestra huella digital. Adoptar medidas sencillas de higiene digital, aprovechar las herramientas de transparencia de las tiendas de aplicaciones y usar gestores de contraseñas y autenticación de dos factores reducen significativamente los riesgos, mientras que las decisiones sobre confianza y uso deben tomar en cuenta el origen de la app, su política de datos y el contexto regulatorio donde opera.
Para quien necesite más recursos prácticos sobre seguridad en dispositivos móviles, la CISA ofrece recomendaciones actualizadas en su apartado sobre seguridad de dispositivos móviles: https://www.cisa.gov/tips/mobile-device-security. Y si considera que ha sufrido un incidente, puede reportarlo al IC3 del FBI: https://www.ic3.gov/.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...