No existe ninguna aplicación que permita acceder al historial de llamadas de otra persona. Nunca la ha habido, y es casi seguro que nunca la habrá: las operadoras no divulgan esos datos, y ningún desarrollador externo tiene el acceso necesario para recuperarlos. No se trata de un tema ambiguo; simplemente no es posible. Sin embargo, según welivesecurity , 7,3 millones de personas han descargado aplicaciones que afirmaban hacer precisamente eso.
Investigadores de seguridad de ESET dedicaron meses a desentrañar una extensa red de 28 aplicaciones fraudulentas para Android, a las que denominaron colectivamente CallPhantom. Estas aplicaciones prometían a los usuarios acceso a la actividad telefónica de cualquier persona: registros de llamadas, mensajes SMS e incluso el historial de WhatsApp. Bastaba con introducir un número, pagar una pequeña tarifa y, supuestamente, se revelarían los secretos de la persona buscada. Sin embargo, lo que se mostraba era falso: números de teléfono aleatorios con nombres y marcas de tiempo predefinidas, generadas por la propia aplicación, diseñados para parecer lo suficientemente convincentes como para ser reales. La ventaja era que los usuarios solo veían estos datos falsos después de haber pagado. Esta secuencia no era casual.
Google Play Store tenía un grave punto ciego aquí.
Las 28 aplicaciones permanecieron en Google Play Store el tiempo suficiente para acumular millones de descargas. Una de ellas se publicó bajo el nombre "Indian gov.in", un nombre de desarrollador que implicaba una legitimidad gubernamental que no tenía derecho a reclamar. Varias tenían secciones de reseñas repletas de usuarios que afirmaban explícitamente haber sido estafados, y esas advertencias coexistían con grupos de reseñas de cinco estrellas sospechosamente entusiastas que mantenían las calificaciones con una apariencia respetable.
ESET alertó a Google sobre el conjunto completo de aplicaciones en diciembre de 2025, y estas fueron eliminadas. Sin embargo, la eliminación se debió a un informe externo, no a que Google detectara la vulnerabilidad por sí mismo. Para una plataforma que ha invertido considerablemente en la detección automatizada de amenazas y en el marco de la App Defense Alliance, permitir que 28 variantes de la misma estafa —todas prometiendo la misma función técnicamente imposible— acumulen millones de descargas representa una deficiencia significativa.
Algunas aplicaciones empeoraron la situación al eludir por completo la infraestructura de pagos de Google, redirigiendo a los usuarios a transacciones UPI de terceros o a campos de entrada directa de tarjeta integrados en la aplicación. Esto infringe las políticas de Play Store, pero también significa que Google no puede reembolsar a esos usuarios. Quienes pagaron fuera del sistema de facturación oficial deben contactar directamente con el proveedor de pagos o con los desarrolladores, quienes, como es lógico, no están muy dispuestos a ayudar.
Las aplicaciones funcionaron porque la propuesta era irresistible.
Lo más incómodo de esta historia es lo que impulsó las 7,3 millones de descargas en primer lugar. Estas aplicaciones no ofrecían almacenamiento en la nube ni una nueva forma de editar fotos. Ofrecían algo que la gente realmente deseaba lo suficiente como para pagar por ello: la posibilidad de espiar a alguien: una pareja, un ex, un adolescente o un contacto de negocios. Cualquiera que fuera la razón, estaba claro que existía un público amplio y dispuesto a aceptar la idea.
Las aplicaciones explotaron ese deseo con una precisión implacable. Preseleccionaron el código de país +91 de la India por defecto y admitieron pagos UPI, lo que indica que los estafadores conocían bien a su público objetivo. Los planes de suscripción iban desde unos pocos euros por semana hasta 80 dólares al año, ofreciendo a los usuarios opciones que parecían un servicio legítimo y se adaptaban a diferentes necesidades. Una aplicación, cuando un usuario intentaba salir sin pagar, enviaba una notificación push falsa con el estilo de un correo electrónico recién recibido con los resultados: un último recurso que lo redirigía directamente al muro de pago.
Funcionó porque la curiosidad es poderosa, y las aplicaciones fueron diseñadas por personas que lo entendían. Si eliminamos la estructura técnica, lo que queda es una estafa muy antigua: cobrarle a alguien por algo que desea desesperadamente, darle una nada que parezca plausible y confiar en que la vergüenza le impida quejarse demasiado.
Para quienes se vean afectados por esta situación, las suscripciones gestionadas a través del sistema oficial de Google Play pueden cancelarse —y posiblemente reembolsarse— mediante la configuración de pagos de la Play Store. Para cualquier otra cosa, será más complicado hablar con quien procesó el pago.