Qué es el stalkerware o spouseware y cómo protegerte

Cuando te conectas a Internet es muy fácil bajar la guardia y pensar que, por defecto, tu privacidad está a salvo y nadie puede fisgar tu vida digital. La realidad es bastante menos idílica: existe toda una industria de programas espía dedicados a rastrear lo que haces, con quién hablas y por dónde te mueves, muchas veces sin que lo notes en absoluto.

Entre esas amenazas destacan tres viejos conocidos: spyware, stalkerware y spouseware. Comparten raíces técnicas, pero se usan de formas muy diferentes. Algunos se venden como herramientas “legales” de control parental o supervisión de empleados, otros se utilizan directamente como armas en contextos de violencia de género, acoso y control coercitivo. Entender qué son, cómo funcionan y cómo defenderte no es opcional: es clave para tu seguridad digital y, en muchos casos, para tu seguridad física.

Qué es el stalkerware o spouseware

La definición más aceptada hoy en día la propone la Coalition Against Stalkerware: se trata de software puesto a disposición del público que permite a una persona monitorizar en remoto la actividad del dispositivo de otra sin su consentimiento y sin avisos claros, continuos y persistentes, con el objetivo (directo o indirecto) de facilitar el acecho, el control, el abuso o la violencia.

En otras palabras, hablamos de aplicaciones que se instalan en tu móvil, tablet u ordenador y que registran lo que haces a escondidas: qué escribes, con quién chateas, dónde estás, qué fotos haces o guardas… y todo ello se envía a un panel de control accesible por el agresor desde cualquier parte.

En este contexto se utilizan varios términos que suelen confundirse: stalkerware, spouseware, spyware, creepware, “software de vigilancia”… Técnicamente las fronteras son difusas, pero a grandes rasgos podemos distinguir:

• Spyware: categoría general de programas espía que recopilan información sin permiso (hábitos de navegación, credenciales, archivos).
• Stalkerware: spyware usado específicamente para vigilar a una persona concreta, normalmente en el entorno íntimo (pareja, ex, familiar).
• Spouseware: subgrupo de stalkerware centrado en el control de la pareja sentimental, instalado en sus móviles o equipos para seguir todos sus movimientos.

Estas aplicaciones se venden abiertamente como apps de control parental, localizadores familiares o herramientas para “proteger a los tuyos”. En muchos países, el simple desarrollo o venta del producto no es ilegal, pero el uso para espiar sin consentimiento sí lo es, hasta el punto de convertirse en un delito grave, especialmente cuando se trata de violencia de género.

Spyware: el paraguas de los programas espía

El spyware es, en esencia, cualquier programa que recopila información de tu dispositivo y la envía a terceros sin que tú lo sepas ni lo autorices. A menudo llega camuflado dentro de otros programas “útiles” o a través de descargas en webs de dudosa reputación, adjuntos de correo o enlaces maliciosos.

Su funcionamiento se caracteriza porque es tremendamente sigiloso: no suele causar fallos llamativos, no muestra ventanas visibles, y se diseña para que el usuario no sea consciente de su presencia. Eso hace que no sea nada sencillo detectarlo y eliminarlo sin ayuda de herramientas de seguridad o de profesionales.

Formas habituales de infección por spyware

Los creadores de spyware utilizan prácticamente las mismas técnicas que cualquier otra familia de malware. Entre las más comunes encontramos:

• Aprovechamiento de vulnerabilidades: enlaces en correos, SMS, redes sociales o webs que explotan fallos de seguridad del sistema o del navegador para descargar e instalar el software espía con un solo clic.
• Marketing engañoso: programas presentados como aceleradores de Internet, limpiadores del sistema, gestores de descargas o buscadores “mejorados” que, en realidad, llevan dentro el spyware.
• Adjuntos maliciosos: documentos, ejecutables o ficheros comprimidos enviados por correo o mensajería que instalan el programa al abrirse.
• Instalación física: alguien con acceso directo al dispositivo instala la app espía desde una web o copiándola desde un pendrive o similar.
• Apps móviles maliciosas: aplicaciones fraudulentas o manipuladas en Android e iOS que incluyen código espía, muchas veces disfrazadas como herramientas legítimas.

En el mundo móvil, el problema se agrava porque las pantallas son pequeñas y es más difícil ver qué se está ejecutando exactamente. Un usuario puede pulsar “Aceptar” sin prestar demasiada atención a permisos y advertencias, y conceder acceso a cámara, micrófono o ubicación sin ser plenamente consciente.

Tipos de spyware más habituales

Dentro del paraguas general del spyware, se pueden distinguir varias subfamilias con objetivos concretos. Las más importantes son:

• Ladrones de contraseñas: programas diseñados para capturar credenciales almacenadas en navegadores, datos de inicio de sesión de sistemas y otros servicios. Pueden vaciar bases de datos de contraseñas guardadas o interceptar formularios antes de enviarse.
• Troyanos bancarios: se centran en robar credenciales de banca online y servicios financieros. Suelen manipular páginas web legítimas, inyectar campos de formulario falsos o añadir operaciones encubiertas mientras el usuario cree hacer una transacción normal.
• Infostealers: recolectores de información general. Escanean el equipo en busca de documentos, hojas de cálculo, historiales de navegación, bases de datos, correos, etc., y suben todo al servidor del atacante.
• Keyloggers: registradores de pulsaciones que guardan todo lo que se escribe en el teclado (contraseñas, mensajes, búsquedas), además de capturas de pantalla periódicas y listados de sitios visitados.

Cómo notar indicios de spyware

Detectar un spyware a ojo no es fácil, pero hay una serie de pistas que pueden ponerte en alerta si aparecen de forma repentina:

• Iconos o programas desconocidos en la barra de tareas o el escritorio que no recuerdas haber instalado.
• Cambios en el navegador: buscador por defecto alterado, redirecciones constantes a páginas raras, barras de herramientas nuevas.
• Mensajes de error extraños o aplicaciones que fallan sin motivo aparente.
• Aumento inexplicable del consumo de datos o de la factura (especialmente en móviles, con cargos SMS a servicios premium).
• Sobrecalentamiento y batería que dura mucho menos, señales de que algo está trabajando constantemente en segundo plano.

Cómo reducir el riesgo de infección por spyware

La prevención pasa por combinar buenas prácticas y tecnología. Algunas medidas clave son:

• Aumentar el nivel de privacidad y seguridad del navegador, desactivando plugins innecesarios y bloqueando pop-ups y descargas automáticas.
• Avoid webs de intercambio de archivos dudosas y nunca descargar contenido ilegal desde fuentes desconocidas.
• No hacer clic en ventanas emergentes publicitarias ni en enlaces o adjuntos de remitentes que no conoces o que “huelen raro”.
• Usar contraseñas robustas y únicas para cada servicio, cambiarlas con cierta frecuencia y activar la autenticación en dos pasos siempre que sea posible.
• Revisar periódicamente qué dispositivos han accedido a tus cuentas (Google, Apple, redes sociales…) y cerrar sesiones sospechosas.

Al final, se trata de tratar tus contraseñas y dispositivos como algo íntimo: no se comparten con cualquiera, se renuevan de vez en cuando y se protegen con atención.

Qué es exactamente el spouseware y por qué es tan peligroso

El spouseware es, en esencia, stalkerware orientado a controlar a una pareja o ex pareja. Suele instalarse en el teléfono móvil de la víctima y se usa para vigilar sus movimientos, sus contactos y su vida privada en general. Es una de las herramientas digitales más utilizadas en contextos de violencia doméstica y acoso.

Una vez instalado, el spouseware permite al agresor acceder en tiempo real a mensajes, fotos, redes sociales, geolocalización, llamadas y hasta al micrófono y la cámara. Todo ello se hace de forma oculta, sin notificaciones visibles y sin que la víctima haya consentido.

Lo más inquietante es que este tipo de software es muy fácil de conseguir, sin necesidad de acudir a la dark web. Hay decenas de servicios que se anuncian con reclamos del estilo “pilla a tu pareja infiel” o “vigila el móvil de tus hijos” con precios que pueden rondar los 50-100 euros al año.

Las funciones que prometen estas apps de spouseware suelen incluir:

• Localización por GPS precisa del dispositivo 24/7.
• Intercepción de mensajes en apps como WhatsApp, Telegram, Facebook Messenger, Skype, iMessage, Viber y muchas otras.
• Acceso al calendario, contactos e historial de llamadas.
• Revisión del historial de navegación y de las apps utilizadas.
• Activación remota de la cámara o el micrófono para ver y escuchar qué ocurre alrededor del móvil en tiempo real.
• Funciones avanzadas en algunos casos, como enviar SMS falsos, robar contraseñas o controlar apps como Tinder.

Desde el punto de vista moral, el uso de spouseware es claramente una invasión brutal de la intimidad. Legalmente, en países como España se considera un delito de descubrimiento y revelación de secretos, con penas que pueden ir de uno a cuatro años de prisión, agravadas si hay relación de pareja o violencia de género.

Stalkerware en contexto: impacto real y dimensión del problema

Lejos de ser una rareza, el stalkerware se ha convertido en un problema creciente a escala global. Organizaciones especializadas en violencia de género, entidades de ciberseguridad y proyectos internacionales coinciden en que cada vez más víctimas piden ayuda por este tipo de acoso digital.

Datos de distintos estudios muestran que un porcentaje muy alto de profesionales que trabajan con víctimas de violencia doméstica han visto casos de abuso facilitado por la tecnología. En algunos países se estima que uno de cada cinco casos de violencia en la pareja incluye algún tipo de acecho digital a través del teléfono móvil.

Empresas de seguridad como Kaspersky, Malwarebytes, F‑Secure y otras han reportado aumentos constantes de detecciones de stalkerware en dispositivos móviles, con crecimientos de decenas e incluso cientos por ciento en determinados periodos, especialmente durante los confinamientos por la COVID‑19, cuando muchas víctimas quedaron encerradas con sus agresores.

Además, el fenómeno tiene una clara dimensión de género: la mayoría de víctimas son mujeres y la mayoría de agresores son hombres. Siete de cada diez mujeres que han sufrido acoso digital declaran haber experimentado también violencia física o sexual por parte de su pareja. El stalkerware no es un “juego de celos”, es una pieza más en un patrón de control y maltrato.

La respuesta a este problema ha llevado a la creación de iniciativas como la Coalition Against Stalkerware, que agrupa organizaciones de derechos digitales, ONGs contra la violencia doméstica y empresas de ciberseguridad. Su objetivo es mejorar la detección de estas apps, ofrecer recursos a víctimas y presionar para que se regulen de forma más estricta.

Cómo funciona el stalkerware en la práctica

Aunque hay multitud de variantes, la mayoría de aplicaciones de stalkerware comparten una arquitectura básica: un componente que se instala en el dispositivo de la víctima y un panel de control remoto para el agresor.

En el dispositivo, la app suele funcionar en modo oculto. Puede aparecer disfrazada como un servicio del sistema, un gestor de batería o algo similar, o directamente no mostrar ningún icono. Una vez activa, monitoriza continuamente la actividad:

• Acceso a contactos, galería, SMS y registros de llamadas.
• Lectura de mensajes en aplicaciones de mensajería.
• Grabación de llamadas telefónicas.
• Activación de cámaras frontal y trasera para capturar vídeo o fotos.
• Grabación de audio a través del micrófono del dispositivo.
• Registro de la ubicación GPS en tiempo real e histórico de movimientos.
• Keylogging: registro de las teclas pulsadas para capturar contraseñas y contenidos.

Todos esos datos se envían a un servidor que el agresor consulta desde un panel web o desde otra app. Desde ahí puede, además, ordenar acciones en el dispositivo de la víctima: hacer capturas de pantalla, activar la cámara, bloquear o borrar contenidos, etc.

En muchos casos, el agresor es alguien del entorno directo de la víctima (pareja, ex, familiar, compañero de trabajo), con acceso físico al móvil, al ordenador o a las contraseñas de sus cuentas. Esto incrementa drásticamente el daño posible, porque la información obtenida se cruza con datos personales, sociales y familiares que ya conocía.

Dónde acaba el control parental y empieza el stalkerware

Una de las razones por las que el stalkerware es tan difícil de combatir es que se mueve en la frontera entre aplicaciones legítimas y usos abusivos. Técnicamente, muchas funciones se parecen mucho a las de un control parental o una herramienta antirrobo.

La diferencia, sin embargo, está en varios puntos clave:

• Consentimiento y transparencia: un control parental legítimo se instala con conocimiento del menor (o de su tutor legal), se muestra visible y no intenta esconderse del sistema ni del usuario.
• Comportamiento frente a la seguridad: el stalkerware suele pedir permisos excesivos, intenta conseguir privilegios de sistema o root, y en muchos casos desactiva antivirus o protecciones para sobrevivir.
• Canal de distribución: muchas apps de acecho no cumplen las políticas de tiendas oficiales como Google Play, por lo que se distribuyen desde webs propias o markets alternativos.
• Marketing: aunque se disfracen de “herramientas educativas” o “localizadores familiares”, la publicidad real va dirigida a personas que quieren espiar a parejas o allegados.

Este juego de ambigüedades permite a los desarrolladores escudarse en vacíos legales: se limita a venderse como una solución de seguridad o control familiar, y se deja en manos del comprador el uso que vaya a darle. Pero en la práctica, el grueso de sus clientes son personas que quieren vigilar a otras sin su permiso.

Riesgos añadidos: filtraciones de datos y debilitamiento del dispositivo

Además de los daños evidentes sobre la víctima, el stalkerware tiene otra cara poco comentada: también pone en riesgo a la persona que lo instala, a la organización que lo tolera e incluso a terceros.

Para funcionar, estas aplicaciones suben información muy sensible (fotos íntimas, conversaciones privadas, documentos de trabajo, ubicaciones) a servidores externos. Si esos servidores están mal configurados o tienen vulnerabilidades, los datos pueden quedar expuestos a cualquier ciberdelincuente.

Ya se han documentado casos donde investigadores descubrieron bases de datos abiertas con decenas de miles de fotos, grabaciones y mensajes recopilados por aplicaciones de stalkerware. En otros incidentes se han interceptado credenciales de acceso porque la app las enviaba sin cifrar. El resultado es que secretos tanto de la víctima como del agresor han quedado al alcance de terceros.

Por otro lado, muchas apps de acecho exigen que el usuario habilite la instalación desde orígenes desconocidos, desbloquee el bootloader o haga “jailbreak”/root al dispositivo. Todo ello rompe capas de seguridad que estaban ahí para protegerte, dejando la puerta abierta a otro malware y a abusos posteriores.

Algunas incluso piden desinstalar o desactivar las soluciones de seguridad. Eso marca una diferencia importante con las aplicaciones de control parental legítimas, que se distribuyen en tiendas oficiales, no se esconden y no luchan contra el antivirus ni el sistema.

Cómo llega el stalkerware a tu móvil

En la práctica, el stalkerware suele llegar por dos vías principales:

1. Acceso físico al dispositivo: es el escenario más habitual en violencia de pareja o intrusismo familiar. La persona agresora coge el móvil “prestado” unos minutos, o regala un dispositivo ya preparado con la app instalada y configurada.
2. Ingeniería social y phishing: se envía a la víctima un enlace por correo, SMS, WhatsApp o redes sociales que, al pulsarlo, descarga e instala la aplicación espía o un instalador que la incluye.

En el primer caso, la víctima ni siquiera necesita hacer clic en nada: basta con que deje su móvil desbloqueado al alcance de la otra persona. En el segundo, el agresor puede hacerse pasar por una entidad de confianza (banco, servicio de mensajería, soporte técnico, un conocido) para convencerla de que instale “algo necesario”.

En iPhone la instalación de stalkerware puro es más compleja, porque Apple limita mucho la ejecución de código de terceros. No obstante, si el dispositivo está “liberado” o con jailbreak, esas barreras caen. Una forma de verificar este punto es intentar instalar apps como Cydia: si se pueden instalar, es probable que el terminal haya sido manipulado y conviene llevarlo a un profesional.

Cómo detectar y eliminar stalkerware de forma segura

Descubrir que alguien puede estar espiándote mediante tu propio móvil o tu ordenador es un golpe psicológico serio. Muchas víctimas relatan sensación de paranoia, dudas constantes sobre su memoria y percepción de la realidad, e incluso rechazo total a la tecnología durante un tiempo.

Si sospechas que podrías estar siendo vigilada o vigilado, conviene actuar con mucha cautela, especialmente si estás en una relación abusiva. Cuando los agresores sienten que pueden ser descubiertos, es frecuente que aumenten el nivel de violencia o de control.

Señales de posible stalkerware

Más allá de los síntomas técnicos ya comentados (batería, datos, sobrecalentamiento), también hay señales de comportamiento del agresor que deberían ponerte en alerta:

• Conoce detalles muy específicos de tus conversaciones privadas con amigos, familia o profesionales, que tú no le has contado.
• Sabe dónde estás o con quién sin que se lo hayas dicho, y coincide demasiado a menudo “por casualidad” en sitios donde no esperabas verlo.
• Hace comentarios que solo podría conocer si hubiera escuchado o leído algo directamente desde tus dispositivos.
• Minimiza o gaslightea (“eso ya me lo contaste”, “te confundes”, “estás paranoica”) cuando le preguntas de dónde saca esa información.

Pasos técnicos para desinfectar equipos (cuando es seguro hacerlo)

Si no estás en una situación de alto riesgo con tu pareja o entorno, puedes plantearte estas medidas técnicas para limpiar un dispositivo potencialmente comprometido:

• Hacer copia de seguridad de tus datos importantes (fotos, documentos) en un medio seguro y desconectado.
• Restaurar el dispositivo a valores de fábrica: es, a menudo, la manera más fiable de eliminar stalkerware en móviles, aunque pierdas apps y configuraciones.
• Actualizar el sistema operativo a la última versión disponible inmediatamente después del reseteo.
• Reinstalar solo las apps imprescindibles desde tiendas oficiales y revisar bien los permisos que les concedes.
• Cambiar todas tus contraseñas desde un dispositivo que sepas seguro, activar autenticación en dos factores y cerrar sesiones abiertas en otros dispositivos.
• Instalar una solución de seguridad reputada (antivirus/antispyware) tanto en móvil como en ordenador, y ejecutar análisis completos con frecuencia.

En contextos de violencia de género o amenazas serias, muchas organizaciones recomiendan una estrategia diferente: no tocar el dispositivo potencialmente infectado hasta tener un plan de seguridad. A veces es mejor asumir que ese móvil está comprometido y utilizar uno nuevo, de prepago y bien protegido, solo para comunicaciones críticas sobre la huida o la denuncia.

Herramientas y recursos útiles contra el stalkerware

Además de los antivirus tradicionales, en los últimos años han surgido herramientas específicas para ayudar en casos de acecho digital:

• TinyCheck: sistema pensado para organizaciones que atienden a víctimas. Permite analizar el tráfico de un móvil sin instalar nada en él, detectando conexiones a servidores conocidos de stalkerware sin alertar al agresor.
• Suites de seguridad para Android e iOS (Kaspersky, Malwarebytes, ESET, etc.): muchas ya incluyen detección específica de stalkerware y muestran avisos claros sobre apps que pueden vulnerar tu privacidad.
• Detectores de apps espía: aplicaciones que revisan listas de permisos, procesos en segundo plano y conexiones de red buscando patrones de vigilancia.
• Programas de formación en ciberseguridad: cursos, webinars y guías divulgativas que enseñan a identificar intentos de phishing, gestionar contraseñas o configurar correctamente la privacidad.

En situaciones complicadas, también puede ser muy útil acudir a peritos informáticos especializados, que pueden analizar el dispositivo, documentar técnicamente la infección y ayudar a determinar el origen del ataque, algo clave a nivel judicial.

Aspectos legales y éticos del uso de stalkerware y spouseware

Desde el punto de vista jurídico, en España instalar software espía en el dispositivo de otra persona sin su autorización es un delito de descubrimiento y revelación de secretos. El Código Penal prevé penas de prisión y multas importantes, con agravantes cuando hay relación de pareja o violencia de género.

A nivel ético, el panorama es igual de claro: usar estas herramientas vulnera el derecho fundamental a la privacidad y a la autonomía de la otra persona. No es una “medida de protección” ni una forma de “quedarse tranquilo”, sino un mecanismo de control y manipulación que puede provocar daños emocionales, psicológicos y sociales muy profundos.

Incluso en contextos donde podría parecer más aceptable —como el seguimiento de hijos menores o de empleados con dispositivos corporativos—, conviene reflexionar a fondo: ¿hasta qué punto compensa el daño a la confianza? ¿Se han explicado las reglas de forma transparente? ¿Se han explorado alternativas basadas en la educación, la comunicación y la responsabilidad?

Por todo ello, distintas organizaciones insisten en que, si descubres que están usando stalkerware contra ti, es esencial denunciar y pedir ayuda. Sin denuncia, las fuerzas de seguridad tienen las manos atadas y el problema se perpetúa, tanto para ti como para posibles futuras víctimas de la misma persona.

Aprender a identificar el spyware, el stalkerware y el spouseware, conocer las señales de alerta y saber qué pasos dar para proteger tus dispositivos y tu entorno personal se ha convertido en una parte imprescindible de la alfabetización digital moderna; solo así se consigue que la tecnología vuelva a ser una herramienta a tu servicio y no un arma en manos de otros.