Si revisas el saldo, haces transferencias o pagas todo con el móvil, hay un nombre que vas a empezar a ver cada vez más en noticias de seguridad: Sturnus. Así han bautizado los investigadores de MTI Security y ThreatFabric a un nuevo troyano bancario para Android que no solo roba credenciales, sino que también puede ver lo que pasa en tu pantalla. 
En otras palabras, se sienta virtualmente a tu lado mientras usas el banco, el correo o tus chats y toma nota de todo.
La parte más inquietante de Sturnus es que no intenta romper cifrados ni hacer magia con las matemáticas. En lugar de atacar la criptografía de WhatsApp, Signal o Telegram, espera pacientemente a que la app haga su trabajo, descifre el mensaje y lo muestre en la conversación. Justo en ese momento, cuando el texto ya está en claro y tú lo lees tan tranquilo, el malware captura la pantalla o la transmite en segundo plano a los atacantes. Para el sistema todo parece normal; para tu privacidad, es como dejar la ventana abierta mientras hablas de temas sensibles.
Con las apps bancarias el juego es aún más agresivo. Sturnus puede superponer ventanas falsas que imitan casi a la perfección la interfaz de tu banco: logo, colores, campos de usuario y contraseña, todo parece legítimo. Tú crees que estás entrando en la aplicación de siempre, introduces usuario, PIN, token o código de un solo uso, y en realidad se lo estás entregando directamente a los delincuentes. A partir de ahí, ellos intentan iniciar sesión desde sus propios dispositivos, registrar nuevos beneficiarios o lanzar transferencias hacia cuentas mula.
Los analistas describen a Sturnus como un troyano con capacidad de casi tomar el control total del teléfono. Aprovechando permisos potentes como los de accesibilidad, puede simular toques, escribir texto, desplazarse por menús, aceptar diálogos e incluso manipular lo que ves. En un escenario extremo, el atacante podría abrir la app del banco, preparar un envío de dinero, confirmar la operación y, al mismo tiempo, apagar la pantalla o ponerla en negro para que pienses que el móvil se ha colgado. Cuando lo desbloqueas de nuevo, la operación ya está en marcha.
La única parte relativamente tranquilizadora es que, por ahora, Sturnus no parece estar en una campaña masiva global. Los informes apuntan a ataques de prueba y campañas dirigidas sobre todo a usuarios de Europa Central y del Sur, como si los operadores estuvieran afinando el código y probando distintas tácticas antes de dar el salto a algo más grande. Eso no lo hace menos peligroso, pero sí significa que todavía hay margen para reforzar defensas antes de que la ola sea más grande.
Para Google y el ecosistema de seguridad en Android, detectar una familia de malware en fases tempranas marca la diferencia. Una vez identificado Sturnus, se puede añadir su firma a las bases de datos, entrenar sistemas de detección, ajustar Google Play Protect y compartir indicadores con bancos y empresas de seguridad. Eso no protege automáticamente a quien instala cualquier cosa sin mirar, pero sí reduce el tiempo que los atacantes pueden operar sin ser detectados.
La gran pregunta es cómo termina algo así en tu móvil. Lo más habitual no es que aparezca como una app destacada en Play Store, sino como un archivo APK descargado desde una web desconocida, un supuesto reproductor necesario para ver contenido gratis, una versión modificada de una app de pago, o una actualización falsa que llega por SMS, correo o mensaje de mensajería. El usuario tiene prisa, pulsa en instalar, concede permisos sin leer y, en cuestión de segundos, Sturnus ya tiene un sitio cómodo dentro del sistema.
Por eso, la primera defensa sigue siendo casi aburrida, pero clave: disciplina a la hora de instalar aplicaciones. Limitarse a la Play Store y a tiendas o fuentes realmente confiables ya cierra la mayoría de las puertas por donde entra este tipo de malware. Mantener desactivada la instalación desde fuentes desconocidas es una medida sencilla que muchos subestiman. Si una página insiste en que descargues su propia app para seguir navegando o para ver algo que supuestamente es exclusivo, lo más sano es salir de ahí.
La segunda capa es revisar quién tiene acceso a qué dentro del teléfono. En los ajustes de Android puedes ver qué apps pueden usar los servicios de accesibilidad, leer notificaciones, grabar la pantalla o mostrarse por encima de otras. Si encuentras una app que casi no recuerdas haber instalado, pero tiene permisos para controlarlo todo, eso es un semáforo rojo. Sturnus y otros troyanos similares necesitan justamente este tipo de privilegios para colocar ventanas falsas sobre el banco o espiar conversaciones sin levantar sospechas.
Luego están las cuentas en sí. En plena era de ataques automatizados, una sola contraseña es muy poca cosa. Activar la autenticación en dos pasos (2FA) en las apps bancarias, en tu cuenta de Google y en cualquier servicio importante añade una capa crítica de protección. Lo ideal es usar apps de autenticación o llaves físicas en lugar de solo SMS, que se pueden desviar con técnicas como el SIM swapping. Si alguna vez caes en una pantalla falsa y entregas tu contraseña, el atacante se sigue encontrando con ese segundo candado que, muchas veces, frena el golpe.
Las actualizaciones también son parte del juego, aunque cueste admitirlo. Es tentador posponerlas una y otra vez, pero muchos parches corrigen exactamente las vulnerabilidades que el malware intenta aprovechar. Mantener Android actualizado, dejar activo Play Protect y no acumular versiones antiguas de apps bancarias reduce muchísimo la superficie de ataque. Y, por supuesto, conviene entrenar el reflejo de desconfiar de enlaces que llegan por SMS, correo o chats prometiendo premios, envíos pendientes o bloqueos de cuenta: es mejor abrir la app oficial y comprobar ahí, que tocar un enlace que puede ser la puerta de entrada.
Es normal sentir cierto cansancio ante la enésima noticia de un virus nuevo para Android. Parece que siempre hay un nombre raro de turno y, con el tiempo, todo suena igual. Pero justo ahí es donde los criminales encuentran su oportunidad: cuando dejamos de prestar atención porque nos parece ruido, bajamos la guardia. No se trata de vivir paranoico ni de demonizar el móvil, sino de aceptarlo como lo que es: una mezcla de cartera, llaves, correo y libreta de contraseñas en un solo dispositivo que merece algo más de cuidado.
Al final, Sturnus no es solo un ejemplo de malware sofisticado, sino un recordatorio de que el eslabón más frágil sigue siendo el comportamiento humano. Los atacantes ya no necesitan romper cifrados imposibles si pueden convencer al usuario de que escriba sus datos donde no debe. La parte positiva es que justo ahí tienes margen de maniobra: si evitas instalar APKs aleatorios, revisas permisos, mantienes el sistema al día y proteges tus cuentas con 2FA, pasas de estar en el grupo de víctimas fáciles a la categoría de objetivos complicados. Y la mayoría de los atacantes, por pura economía, preferirá ir a por quien lo tiene todo abierto de par en par.