Los permisos de las aplicaciones funcionan como un centinela invisible que controla a qué tipo de datos y recursos del dispositivo pueden acceder tus apps.

Si alguna vez descargaste una aplicación nueva, seguramente te apareció una solicitud de permisos. Y seamos sinceros: ¿cuántas veces hemos tocado “permitir” sin pensarlo demasiado?

Algunos permisos son razonables y necesarios para que la aplicación funcione correctamente. Pero otros pueden (ya sea de forma intencionada o no) ir más allá de lo estrictamente necesario. Incluso hay casos en los que los permisos solicitados pueden ser directamente maliciosos. Por eso es importante saber cuáles conviene autorizar y cuáles es mejor bloquear.

¿Qué pasa con los permisos de las aplicaciones?

La ventana emergente de permisos de una aplicación es, básicamente, un diálogo entre el sistema operativo de tu móvil y tú. Te informa que una nueva app quiere acceder a determinados datos o funciones, y te pide tu aprobación para poder hacerlo.

Antes, estas solicitudes aparecían previo a la instalación de la aplicación. Sin embargo, las versiones modernas de iOS muestran los permisos en tiempo de ejecución, es decir, cuando empiezas a usar la app. Android utiliza un enfoque mixto: solicita algunos permisos durante la instalación —generalmente los de bajo riesgo— y otros mientras usas la aplicación.

Desde Android 6.0, los permisos se dividen en dos categorías principales. Por un lado están los permisos normales, como el acceso a Internet, que se conceden automáticamente durante la instalación sin necesidad de intervención del usuario. Por otro lado, están los permisos peligrosos, como la ubicación, el micrófono o los contactos, que requieren la aprobación explícita del usuario en tiempo de ejecución, es decir, la primera vez que la app intenta usar esa función.

En las versiones más recientes, Android incorporó permisos adicionales —como la ubicación en segundo plano o el permiso para enviar notificaciones— que pueden requerir flujos de consentimiento separados o en varios pasos. iOS adopta un enfoque similar al de Android para los permisos sensibles, mostrándolos todos en tiempo de ejecución.

Para los desarrolladores, los permisos son una pieza fundamental para ofrecer a los usuarios experiencias fluidas y ricas en funciones. Si una aplicación tuviera que pedir acceso a los datos o funciones del dispositivo cada vez que los utiliza, sería prácticamente imposible de usar.

Tanto iOS como Android han incorporado en los últimos años importantes medidas de protección para reducir los riesgos asociados a conceder permisos demasiado amplios. Gracias a estas salvaguardas, muchas decisiones críticas se gestionan automáticamente en segundo plano. Aun así, eres tú quien decide qué permisos otorgar y cuáles rechazar.

Los peligros de los permisos de las aplicaciones

De manera intencionada o no, algunas aplicaciones solicitan más acceso del que realmente necesitan. Piensa, por ejemplo, en un simple juego para el móvil que pide permiso para acceder a tus contactos, o en una calculadora que solicita usar tu micrófono y cámara. Estas solicitudes deberían levantar una bandera roja.

Si aceptas permisos sin detenerte a evaluarlos, podrías permitir que desarrolladores malintencionados accedan a datos sensibles de tu smartphone: calendario, mensajes, SMS, archivos, contactos, registros de llamadas, ubicación, micrófono, cámara y más. En teoría, con ciertos permisos críticos también podrían llegar a capturar lo que aparece en tu pantalla mientras escribes.

Con permisos excesivos, una aplicación maliciosa podría:
  • Robar las contraseñas de tus cuentas más sensibles —incluidas las de la banca online—,
  • interceptar códigos SMS de un solo uso,
  • inscribirte sin tu consentimiento en servicios de suscripción premium, o
  • crear un perfil detallado de tu vida digital para venderlo a anunciantes.
  • También puede poner en riesgo tu seguridad física haciendo un seguimiento constante de tu ubicación, activar la cámara o el micrófono para convertir tu smartphone en un dispositivo de escucha, cifrar tus archivos y exigir un rescate (como hacen los ataques de ransomware), o incluso instalar otros tipos de malware, incluidos infostealers y software espía.

Las aplicaciones de asistentes de inteligencia artificial —y, en especial, aquellas que sólo pretenden serlo— representan un riesgo creciente en materia de permisos y vale la pena resaltarlo. Muchas solicitan acceso permanente al micrófono para detectar palabras de activación, así como permisos para acceder a tus contactos, calendario e incluso, en algunos casos, al contenido de la pantalla. Por eso, conviene aplicar a las apps de IA el mismo nivel de escrutinio que a cualquier otra categoría, sin dejarse llevar por su apariencia de herramienta avanzada o “inteligente".

Otro ámbito donde suele subestimarse la exposición es el de los datos de salud y actividad física. Las aplicaciones que acceden a tus métricas corporales —frecuencia cardíaca, pasos, patrones de sueño, entrenamientos, entre otros— pueden compartir o vender esta información, lo que puede tener consecuencias muy reales: desde afectar tus opciones de seguro hasta alimentar el mercado del corretaje de datos
permissions
Larga lista de permisos solicitados por una aplicación de préstamos engañosa en 2023 (fuente: ESET Research)

¿Qué permisos de las aplicaciones deberían encender las alarmas?

Los permisos dependen mucho del contexto. Lo que una aplicación necesita para ofrecer la experiencia esperada puede ser muy distinto de los permisos que requiere otra. Sin embargo, hay ciertos permisos que deberían generar preocupación casi siempre. Entre ellos:

Servicios de accesibilidad: También conocidos como “modo Dios”, pueden permitir que desarrolladores malintencionados vean lo que escribes, lean tus mensajes e incluso se otorguen permisos adicionales sin que lo notes. Este permiso no está disponible de forma nativa en iOS. Las versiones recientes de Android no permiten que apps instaladas fuera de Play Store lo soliciten y, además, cada cierto tiempo te pedirán confirmar si quieres seguir concediéndolo.

Ubicación en segundo plano: Puede permitir que un actor malicioso rastree tu dispositivo a cada lugar al que vas y cree un perfil detallado de tu vida diaria. Para mitigar este riesgo, Android y iOS no permiten activar “permitir siempre” de entrada, y periódicamente te pedirán reconfirmarlo.

SMS / registros de llamadas: Muy pocas aplicaciones necesitan realmente acceso a tus mensajes de texto o historial de llamadas. Con ese acceso, un atacante podría leer tus códigos de un solo uso e incluso secuestrar tus cuentas. En Android, una app sólo puede solicitar estos permisos si primero se registra como la aplicación predeterminada para esa función. iOS no permite que las apps descargadas de la App Store pidan permiso para “leer SMS” o “ver historial de llamadas”.

Permiso de superposición (overlay): Permite que una app muestre una ventana por encima de otra que estés usando, lo que puede habilitar ataques de clickjacking.  Android exige activarlo manualmente en Ajustes > Apps > Acceso especial > Mostrar sobre otras apps. iOS no tiene un permiso equivalente.

Cómo gestionar los permisos de las aplicaciones de forma segura

Antes de permitir o bloquear un permiso, piensa siempre si es realmente necesario para que la aplicación pueda cumplir su función.Otra buena práctica es elegir “permitir una vez” o “permitir sólo mientras se usa”. Solo aplicaciones de seguridad como deberían tener acceso permanente, las 24 horas del día todos los días del año.Aunque muchas aplicaciones te pedirán revisar tus permisos periódicamente, también es recomendable hacer una auditoría proactiva. Aquí te explicamos cómo:

iOS

  • Ir a Configuración > Privacidad y seguridad.
  • Desplazarte hasta el final y activar Informe de privacidad de las apps.
  • Ahí podrás ver qué aplicaciones accedieron a tus datos y en qué momento.

Otra forma:

  • Ir a Configuración > Apps.
  • Seleccionar una app específica (por ejemplo, Instagram).
  • Verás todas las opciones de permisos (cámara, micrófono, contactos, etc.). Desactiva todo lo que no sea esencial.

Android

  • Ir a Ajustes > Seguridad y privacidad > Privacidad > Panel de privacidad.
  • Tocar Vista de 7 días (en el menú superior derecho) para ver qué aplicaciones usaron tus sensores durante la última semana. (Estos pasos pueden variar según el fabricante del dispositivo).
  • Si ves que una app usó el micrófono a las 3:00 a.m., toca ese registro y revoca el permiso de inmediato.

Otra opción (las rutas pueden cambiar según la capa de Android):

  • Ir a Ajustes > Apps > [Nombre de la app].
  • Verificar que la opción “Gestionar app si no se usa” o “Pausar actividad si no se usa” esté activada.
  • Si no usas la aplicación durante algunos meses, Android revocará permisos de forma automática, borrará archivos temporales y desactivará sus notificaciones

Por encima de todo, descarga aplicaciones únicamente de tiendas oficiales (Google Play o App Store). Revisa las valoraciones antes de instalarlas y considera usar una solución de seguridad móvil de un proveedor confiable.