La ciberseguridad móvil ya no es una preocupación secundaria. El informe 2025 Global Mobile Threat Report, elaborado por Zimperium, confirma que los atacantes han adoptado una estrategia «mobile-first», convirtiendo los dispositivos móviles en su principal vector de ataque. Para las organizaciones, proteger su huella móvil no es ya opcional, sino una necesidad estratégica.
Entre las principales conclusiones, destaca que el mishing —el phishing dirigido a móviles a través de SMS y otros canales— representa el 54 % de los ataques en iOS y el 69 % en Android, impulsado en parte por la proliferación de herramientas de IA que facilitan la generación masiva de campañas maliciosas. Además, el informe alerta de un preocupante crecimiento de las técnicas de phishing a través de archivos PDF y del auge de ataques de vishing (+28 %) y smishing (+22 %).
El malware sigue muy presente, con un aumento del 50 % en troyanos detectados respecto a 2023. El spyware lidera la clasificación de familias de malware más comunes, reflejando un viraje claro hacia el robo silencioso de datos sensibles.
Sideloading y riesgos ocultos
La instalación de aplicaciones fuera de las tiendas oficiales (sideloading) se ha generalizado, afectando ya al 23,5 % de los dispositivos empresariales. Este fenómeno, hasta ahora más propio de Android, empieza a ser también una amenaza para iOS tras los cambios regulatorios que abrieron la puerta a mercados de aplicaciones alternativos en Europa.
Por otro lado, un 25 % de los dispositivos móviles empresariales no pueden actualizar su sistema operativo debido a su antigüedad, convirtiéndose en puntos débiles explotables por los atacantes mediante vulnerabilidades conocidas.
El informe también revela que muchas aplicaciones de trabajo suponen un riesgo para las empresas. Un 23 % de las apps analizadas se comunican con servidores en países de alto riesgo o sujetos a embargos, y un gran número falla en prácticas básicas de seguridad como la verificación de comunicaciones seguras o el manejo adecuado de permisos sensibles.
Con la creciente integración de capacidades de inteligencia artificial en todo tipo de apps, desde CRM hasta herramientas financieras, los riesgos asociados a la privacidad y a la exfiltración de datos se disparan. De hecho, el 70 % de las apps que incorporan IA utilizan servicios de OpenAI, incrementando la dependencia de terceros para el tratamiento de datos corporativos sensibles.
Grietas en el desarrollo de apps: de la falta de protección al riesgo en la cadena de suministro
En cuanto a las aplicaciones desarrolladas por las propias organizaciones, los hallazgos son igualmente preocupantes: el 60 % de las apps iOS y entre el 16 % y el 34 % de las Android no implementan ninguna protección contra la ingeniería inversa o la manipulación. Además, el uso de bibliotecas de terceros precompiladas sin inspección de seguridad —presentes en más del 60 % de las aplicaciones más populares— abre la puerta a ataques a través de la cadena de suministro.
Entre las principales debilidades detectadas destacan el almacenamiento inseguro de datos, el uso de cifrado insuficiente y la mala configuración de redes seguras, violaciones que afectan a más de la mitad de las apps analizadas.
La necesidad crítica de la atestación de dispositivos
La investigación subraya que más del 60 % de los dispositivos Android y casi el 50 % de los iOS operan con versiones obsoletas de sus sistemas operativos. Además, se estima que 1 de cada 400 dispositivos Android está rooteado y 1 de cada 2.500 dispositivos iOS está liberado (jailbroken). Sin mecanismos de atestación de dispositivos que validen la integridad del entorno de ejecución, incluso las aplicaciones protegidas pueden ser vulneradas con facilidad.
El informe concluye con una llamada a la acción para que las organizaciones fortalezcan las defensas contra el mishing mediante soluciones de defensa móvil avanzadas basadas en IA, además de vigilar continuamente las aplicaciones instaladas en dispositivos empresariales, no solo en el momento de su adopción, o integrar la seguridad en todo el ciclo de vida de las aplicaciones, incluyendo la atestación de dispositivos y el análisis de código binario antes del despliegue. también apuntan desde Zimperium a eliminar dispositivos no actualizables de los entornos corporativos, y proteger la cadena de suministro de software, evaluando exhaustivamente los componentes de terceros utilizados en el desarrollo.
