Quien lleva años usando Android ya conoce el ritual: enciendes un móvil nuevo y antes de instalar tus propias apps ya hay una colección de programas que nunca pediste. Normalmente son solo molestos, ocupan espacio y se pueden desactivar con algo de paciencia. Pero en algunos modelos de gama media de las series Samsung Galaxy A y Galaxy M vendidos en la región de Asia Occidental y Norte de África (WANA), la historia es distinta. 
Allí viene incrustado en el sistema un servicio llamado AppCloud, con privilegios de sistema, imposible de desinstalar por vías normales y que tiende a reaparecer después de las actualizaciones. Esa combinación de persistencia, opacidad y acceso profundo ha encendido todas las alarmas de quienes se preocupan por su privacidad.
El problema no es solo que exista otro servicio de Samsung, sino la manera en que está integrado. AppCloud se comporta como si fuera una pieza básica del sistema operativo, no una app corriente que el usuario pueda gestionar. De ese modo obtiene permisos ampliados, queda protegido frente a la desinstalación desde los ajustes y no se maneja como una aplicación más de Google Play. Muchos usuarios cuentan que, aunque lo desactiven, tras una actualización mayor vuelve a activarse como si nada. Para quien compró un Galaxy A o Galaxy M económico buscando un móvil sencillo para llamar, chatear y ver redes sociales, descubrir un proceso oculto y prácticamente intocable que vive enganchado a sus datos es, como mínimo, inquietante.
Además, AppCloud ni siquiera es un invento interno de Samsung. El servicio fue creado por ironSource, una empresa fundada en Israel y especializada en publicidad, monetización y adquisición de usuarios para apps. Con el tiempo, ironSource pasó a formar parte de Unity, la conocida plataforma de desarrollo de videojuegos que domina una buena parte del mercado móvil y de juegos independientes. Desde la óptica del negocio, la jugada parece lógica para Samsung: un socio experto en adtech que proporciona una capa de recomendaciones y campañas publicitarias capaz de generar ingresos recurrentes en teléfonos de margen ajustado. Visto desde la óptica de la privacidad, la mezcla de un fabricante de hardware gigantesco y un actor agresivo del mundo de la publicidad digital suena mucho menos inocente.
Informes de organizaciones de derechos digitales y de especialistas en seguridad describen a AppCloud como algo que va mucho más allá de un simple recomendador de aplicaciones. El servicio puede recopilar datos técnicos del dispositivo, como identificadores, modelo, versión de Android y estado del sistema, pero también información de contexto: dirección IP, zona aproximada, idioma, patrones de uso y preferencias. A partir de esa combinación es posible construir un perfil bastante detallado de la persona que lleva el móvil en el bolsillo, saber qué le interesa, qué instala, a qué horas se conecta y hasta anticipar qué apps podría descargar en el futuro. Sobre el papel, todo esto sirve para mostrar sugerencias más relevantes. En la práctica, hablamos de un seguimiento continuo que rara vez se explica con claridad al usuario final.
Aquí se abre el debate de si estamos delante de un simple bloatware muy agresivo o de algo que roza la definición de spyware. Samsung y sus defensores insisten en que AppCloud es una plataforma de marketing, no una herramienta de espionaje, y que el objetivo es mejorar la experiencia de recomendación. Pero esa línea se difumina cuando entran en juego dos hechos clave: los permisos son de nivel sistema y se han documentado casos en los que AppCloud instala silenciosamente otras aplicaciones no solicitadas de forma explícita. Desde la perspectiva de la seguridad, cualquier componente capaz de introducir software adicional sin una acción clara del usuario es, por definición, un posible vector de ataque.
No es casual que la polémica sea especialmente intensa en la región WANA, donde las denuncias de vigilancia digital, herramientas de espionaje comercial y campañas estatales de intrusión llevan años acumulándose. En este contexto, la organización de derechos digitales SMEX, con sede en Beirut, decidió poner el foco en AppCloud y publicó una carta abierta dirigida a Samsung. En ella acusa a la compañía de falta total de transparencia: no se explica con detalle cómo funciona el servicio, qué datos exactos se recolectan, con qué terceros se comparten ni por qué los usuarios no pueden negarse a tener ese componente en su teléfono. En un entorno donde periodistas, activistas y ciudadanos ya conviven con un alto nivel de seguimiento, un recolector de datos opaco precargado en millones de dispositivos se percibe como un riesgo mucho más serio que un simple canal de publicidad.
La carta de SMEX no se queda en la queja genérica y baja al terreno práctico. La primera exigencia es la publicación de una política de privacidad específica para AppCloud, completa, accesible y escrita en un lenguaje que cualquier usuario pueda entender. La segunda, que Samsung habilite una forma sencilla y segura de desactivar o eliminar por completo el servicio sin perder funciones básicas del dispositivo ni la garantía oficial. También se pide que la empresa explique por qué las series Galaxy A y Galaxy M destinadas a la región WANA llevan este servicio preinstalado y si hay otros mercados con condiciones similares. Por último, SMEX reclama que se revise la práctica de imponer AppCloud en futuros modelos y recuerda que el derecho a la vida privada está protegido por el artículo 12 de la Declaración Universal de Derechos Humanos, invitando además a un diálogo directo con los equipos responsables de privacidad en Samsung.
Para las empresas que compran lotes de Galaxy A y Galaxy M para su personal de campo, comerciales o equipos de atención, el tema no es solo una cuestión de principios, sino también de riesgo operativo. En esos terminales suele haber acceso a correo corporativo, chats internos, herramientas de gestión, información de clientes y documentos sensibles. Un servicio con capacidad para descargar o ejecutar código adicional sin control directo del departamento de TI se convierte en un punto de entrada que hay que contemplar en cualquier política seria de seguridad móvil. Por eso, muchos expertos recomiendan reforzar el uso de soluciones de gestión de dispositivos (MDM), limitar la instalación a listas blancas de apps aprobadas, auditar los teléfonos con cierta frecuencia y vigilar de cerca cualquier instalación o reinstalación relacionada con AppCloud u otros componentes de sistema similares.
El usuario de a pie, por supuesto, no dispone de todo ese arsenal empresarial, pero tampoco está completamente indefenso. Un paso básico es revisar de vez en cuando la lista de aplicaciones, comprobar qué permisos tienen y desconfiar de servicios que pueden instalar otras apps o acceder a datos sensibles en segundo plano. Quien tiene más nivel técnico suele ir un poco más allá: recurre a firewalls locales, DNS más respetuosos con la privacidad o aplicaciones que bloquean ciertos dominios para intentar cortar la comunicación de AppCloud con sus servidores. Los más avanzados experimentan con deshabilitar paquetes de sistema mediante ADB conectando el teléfono a un ordenador, o incluso se plantean hacer root e instalar una ROM personalizada. Son caminos que pueden funcionar, pero no son sencillos, y traen consigo riesgos reales: desde dejar el móvil inutilizable hasta abrir otras brechas de seguridad, pasando por la pérdida total de la garantía oficial.
A la vez, empieza a notarse la presión política y regulatoria. En algunos países ya se habla de la necesidad de investigar con más profundidad los modelos afectados de Samsung e incluso de plantear restricciones o vetos si la empresa no ofrece garantías sólidas de protección de datos y de control por parte del usuario. Aunque un escenario de prohibición total pueda parecer extremo, el mero hecho de que se ponga sobre la mesa da una idea de cuánto se ha erosionado la confianza. También deja en evidencia la brecha entre el discurso global de las marcas, que llenan la publicidad de mensajes sobre seguridad y privacidad, y lo que luego sucede en mercados considerados secundarios o con menor supervisión.
En el fondo, el caso AppCloud pone nombre y apellidos a un problema que afecta a todo el ecosistema de smartphones: el modelo de negocio basado en bloatware se ha quedado obsoleto. Durante años, las apps preinstaladas se vieron como un mal menor: un par de iconos extra, algo de promoción y alguna oferta a cambio de abaratar el dispositivo. Hoy el móvil se ha convertido en cartera, oficina, archivo personal y ventana al mundo. La idea de que parte del sistema responda primero a los intereses de socios de publicidad antes que a los del dueño del dispositivo choca de frente con lo que muchos consideran un derecho básico: que tu teléfono haga lo que tú quieres, no lo que le conviene a terceros.
Samsung aún tiene margen para reconducir la situación y convertir AppCloud de escándalo en ejemplo. Podría empezar por abrir por completo la caja negra: detallar qué hace exactamente el servicio, qué datos recoge, durante cuánto tiempo los guarda, quién accede a ellos y bajo qué medidas de seguridad, sometiendo todo ello a auditorías independientes. El siguiente paso sería ofrecer un mecanismo oficial y claro para desinstalarlo por completo en los dispositivos afectados. A medio plazo, la compañía tendría que replantearse su relación con socios de publicidad y análisis, renunciar a componentes imposibles de borrar en mercados sensibles y apostar por modelos en los que el consentimiento sea real, informado y reversible. Hasta que algo así ocurra, la pelota seguirá en el tejado de Samsung, y AppCloud será un recordatorio incómodo de lo rápido que unas cuantas líneas de código pueden poner en cuestión la confianza en toda una marca.