Qué estás aceptando realmente con los permisos de apps

iPhone World » General » Qué estás aceptando realmente con los permisos de apps

Instalas una app de linterna, pulsas en «Aceptar todo» sin pensarlo y, en cuestión de segundos, esa aplicación tiene vía libre para entrar en tu agenda, saber dónde estás, usar el micrófono o mirar tus fotos. Ese gesto tan automático de aceptar permisos es justo lo que muchas apps aprovechan para recolectar más datos de los que necesitan.

Lo que aparece en esas ventanas emergentes no es un simple trámite ni una molestia del sistema. Cada permiso es una llave que abre una puerta concreta de tu móvil: cámara, contactos, SMS, ubicación, archivos, sensores de salud, superposiciones en pantalla… Entender qué estás aceptando realmente al instalar una app es fundamental para no regalar tu privacidad (y en el peor de los casos, poner en riesgo tu dinero o tu seguridad física).

En cualquier móvil moderno, las aplicaciones viven dentro de un entorno aislado llamado «sandbox». Ese arenero impide que una app toque libremente todo el sistema, así que para acceder a partes sensibles (cámara, micrófono, archivos, etc.) debe pedirte permiso de forma explícita.

Cuando aceptas esos cuadros de diálogo, lo que haces es autorizar a la app a usar determinados recursos y datos de tu dispositivo. No es lo mismo permitir acceso a Internet (bastante habitual e inevitable en muchas apps) que darle control sobre tus SMS, tu ubicación en segundo plano o la accesibilidad, que son permisos mucho más delicados.

Los sistemas móviles agrupan estos accesos en grandes bloques: almacenamiento, contactos, teléfono, SMS, calendario, sensores, ubicación, cámara, micrófono y una serie de permisos especiales que operan a un nivel más profundo (accesibilidad, administración de dispositivo, superposición sobre otras apps, instalación de aplicaciones, acceso total a archivos, gestión de multimedia, etc.).

En las primeras versiones de Android, muchos permisos se aceptaban «en bloque» antes de instalar la app, sin opción de ir uno por uno. Hoy, tanto Android como iOS han evolucionado hacia un modelo de permisos en tiempo de uso: se te pide acceso justo cuando la aplicación necesita utilizar esa función (por ejemplo, la cámara para hacer una foto o la ubicación para mostrar un mapa).

Esto hace que la experiencia sea más segura, pero también genera una falsa sensación de tranquilidad: que el sistema pregunte no significa que todas las peticiones sean legítimas. Sigue siendo tu responsabilidad decidir qué tiene sentido conceder y qué no.

Los permisos más sensibles y cuándo tienen sentido

No todos los permisos juegan en la misma liga. Algunos son relativamente inocuos y otros, en manos equivocadas, son un caramelo para el malware y las apps invasivas. Entender en qué contextos son razonables te ayudará a detectar peticiones sospechosas al instante.

Ubicación. Este permiso permite que la app sepa dónde estás, ya sea con precisión GPS o de forma aproximada. Es lógico en apps de mapas, transporte, tiempo, delivery o deporte al aire libre. Empieza a oler raro en linternas, calculadoras, juegos sencillos o apps de fondos de pantalla. Si la app te ofrece elegir entre «Solo mientras la uso» y «Siempre», es mucho más prudente quedarte con la primera opción. La ubicación en segundo plano permite trazar un mapa detallado de tus hábitos diarios.

Cámara y micrófono. Son imprescindibles en videollamadas, apps de redes sociales que graban vídeo, escáneres de documentos o apps de fotografía. Pero no tiene sentido que un juego trivial o una app de notas pida el micrófono, salvo que tenga una función de voz muy clara. Además, un acceso descuidado podría permitir grabar audio o vídeo en segundo plano. En Android 12 y posteriores, y en iOS 14 en adelante, verás un punto verde o naranja cuando alguna app esté usando estos sensores.

Contactos. WhatsApp, Telegram, apps de teléfono o correo electrónico necesitan consultar tu agenda para facilitarte la vida. El resto, en general, no. Al dar acceso a contactos estás exponiendo datos de terceros (nombres, teléfonos, correos) que no han dado su consentimiento. Muchas apps suben toda tu agenda a sus servidores para «sugerir amigos» o nutrir sistemas de publicidad.

Almacenamiento / Archivos. Lo requieren los editores de foto y vídeo, gestores de archivos, apps de copia de seguridad o servicios en la nube. Cuando un juego casual o una app de noticias te pide acceso extensivo al almacenamiento, toca levantar la ceja. Con acceso amplio puede leer, modificar o borrar tus fotos y documentos. Android ha ido afinando este permiso con opciones más granulares (solo fotos, solo vídeos, solo música) y con un permiso separado para «acceso a todos los archivos», aún más delicado.

SMS y teléfono. Hay apps que usan SMS para verificar tu cuenta (por ejemplo, bancos o redes sociales) y apps de llamadas que necesitan interactuar con el teléfono para pausar un juego cuando recibes una llamada o hacer llamadas VoIP. Fuera de esos casos, son permisos extremadamente sensibles: permiten leer tus mensajes, ver tu registro de llamadas e incluso iniciar llamadas o enviar SMS de tarificación especial.

Cómo funcionan realmente los permisos en Android e iOS

Detrás de la ventana emergente que ves al usar una app hay un sistema bastante sofisticado. Android y iOS han ido endureciendo su gestión de permisos para reducir el impacto de los abusos, pero con diferencias importantes entre plataformas.

En Android, desde la versión 6.0, los permisos se dividen en dos grandes grupos: los «normales» (como el acceso a Internet o conocer el estado de la red) que el sistema concede automáticamente porque suponen poco riesgo, y los «peligrosos» (ubicación, contactos, SMS, cámara, micrófono, etc.), que siempre exigen tu aprobación explícita cuando la app intenta utilizarlos por primera vez.

Las versiones más recientes añaden matices: por ejemplo, ubicación en segundo plano requiere un paso de consentimiento separado; el permiso para enviar notificaciones puede pedirse aparte; y el acceso completo a todos los archivos está limitado a ciertos tipos de apps (gestores de archivos, antivirus, copias de seguridad, editores de documentos, herramientas de migración, etc.).

iOS también utiliza permisos en tiempo de ejecución, pero suele ser algo más estricto por defecto. Ofrece opciones como compartir ubicación aproximada en vez de precisa, o permitir acceso «una sola vez», lo que obliga a la app a volver a pedir permiso si quiere usar ese recurso más adelante.

Otra diferencia importante es que iOS restringe ciertos permisos por diseño: las apps de la App Store no pueden leer libremente tus SMS o el historial de llamadas, mientras que Android ha tenido que ir recortando estos permisos poco a poco, sobre todo para frenar el malware bancario.

Los riesgos reales de aceptar permisos sin pensar

Aceptar todo deprisa tiene consecuencias que van mucho más allá de ver uno o dos anuncios. Con la combinación adecuada de permisos, una app maliciosa puede:

• Leer tus SMS y robar códigos de verificación de un solo uso, abriendo la puerta al secuestro de cuentas, incluidas las bancarias.
• Supervisar tus pulsaciones, capturar lo que escribes en pantalla y enviar esas credenciales a un servidor remoto.
• Inscribirte en servicios premium de SMS o llamadas de pago sin que te enteres.
• Rastrear tu ubicación casi en tiempo real, con implicaciones para tu seguridad física.
• Activar el micrófono o la cámara de forma oculta para convertir tu móvil en un dispositivo de escucha.
• Cifrar tus archivos y pedirte un rescate (ransomware) o instalar más malware sobre la marcha.

Además, una app con permisos amplios puede construir un perfil muy detallado sobre tu vida digital: qué apps usas, a qué horas, con quién te comunicas, por dónde te mueves, qué compras, qué buscas, etc. Esos datos alimentan un mercado de corretaje de datos que luego se explota para publicidad ultra segmentada, venta a terceros o incluso para decidir primas de seguros o condiciones de crédito.

Las apps de asistentes de IA y pseudoasistentes son un caso especialmente delicado. Muchas piden acceso permanente al micrófono para detectar palabras clave, además de leer contactos, calendario o incluso contenido en pantalla para ofrecerte «ayuda contextual». Si esa app no viene de un proveedor fiable, puedes estar dando un poder enorme a un software que no sabes bien quién controla.

Otro frente muy infravalorado son los datos de salud y actividad física. Frecuencia cardíaca, pasos, sueño, entrenamientos, ciclos, peso… Compartir estas métricas con cualquier app de fitness sin revisar permisos y políticas puede tener consecuencias muy tangibles si terminan llegando a aseguradoras o empresas de marketing sanitario.

Permisos especiales con los que hay que extremar precauciones

Además de los clásicos (cámara, micrófono, ubicación, etc.), hay un conjunto de permisos «especiales» que operan a un nivel profundo del sistema. Son los favoritos del malware porque ofrecen un control casi total del dispositivo.

Servicios de accesibilidad. Diseñados para ayudar a personas con discapacidad visual, motora o cognitiva, permiten a las apps leer lo que aparece en pantalla, interactuar con otros programas e incluso simular toques en tu nombre. En la práctica, equivalen casi a un «modo Dios». Muchas campañas de malware en Android usan ingeniería social para convencerte de que actives accesibilidad con cualquier excusa. Una vez tienen ese permiso, pueden espiar contraseñas, aceptar otros permisos por ti o manejar apps bancarias.

Administrador del dispositivo. Este permiso es típico en móviles de trabajo, donde la empresa necesita aplicar políticas de seguridad, bloquear el terminal o borrarlo de forma remota. Si una app de ocio o una herramienta dudosa te pide esto, sal corriendo. Un administrador del dispositivo no se puede desinstalar hasta revocar primero el permiso, y puede bloquear, restablecer e incluso borrar todos los datos del teléfono.

Mostrar encima de otras aplicaciones (overlay). Permite a una app poner ventanas flotantes sobre lo que estés usando. Es imprescindible para burbujas de chat o herramientas que muestran controles persistentes, pero también sirve para ataques de clickjacking: la app maliciosa dibuja un botón invisible sobre el de tu banco y acabas introduciendo la contraseña donde no es.

Acceso a todos los archivos. A pesar de que Android ha ido segmentando el almacenamiento, sigue existiendo un permiso que otorga a la app capacidad para leer, modificar y borrar casi todo lo que hay en el almacenamiento compartido. Tiene sentido en gestores de archivos, apps de copia de seguridad, antivirus o herramientas de migración. En manos de cualquier otra app, es una puerta enorme al desastre.

Gestión multimedia. Pensado para apps como Google Fotos, brinda la posibilidad de gestionar y modificar archivos multimedia de otras aplicaciones. Aunque está más acotado que el acceso completo a todos los archivos, sigue permitiendo borrar o retocar fotos y vídeos sin que te enteres, si caen en manos equivocadas.

Instalar aplicaciones desde fuentes desconocidas. Antes era un único ajuste global; ahora se otorga por app: eliges qué aplicación está autorizada a iniciar la instalación de APKs. Una app maliciosa con este permiso puede bombardearte con instaladores de otros malware e intentar engañarte para que completes la instalación.

Señales de que una app se está pasando con los permisos

No siempre es evidente cuándo una app pide de más, pero hay varias pistas bastante claras. Si ves uno o varios de estos comportamientos, toca desconfiar.

• La app solicita permisos que no encajan con su función. Ejemplo: una linterna que quiere tus contactos y tu ubicación exacta.
• Deja de funcionar por completo si rechazas un permiso que parece secundario. Es una táctica para forzarte a aceptarlo.
• Tu batería vuela o el consumo de datos se dispara sin explicación tras instalar la app. Puede estar haciendo cosas en segundo plano con los permisos que le diste.
• Empiezas a ver publicidad extremadamente personalizada justo después de instalar una app gratuita. Probablemente se está monetizando vendiendo tu información.
• Te pide activar accesibilidad, administración de dispositivo o «mostrar sobre otras apps» sin justificarlo bien. Son permisos de alto riesgo.

Además, cuando actualizas una app, es habitual que aparezcan nuevas peticiones de permisos. Si una herramienta que llevas usando años de repente quiere acceso a tus SMS o a tu ubicación, párate a pensarlo: puede que haya cambiado su modelo de negocio, su propietario o simplemente su ética.

Cómo revisar y gestionar los permisos en tu móvil

La buena noticia es que no estás a merced de las apps. Puedes revisar y cambiar los permisos en cualquier momento, aunque la ruta exacta de menús varía según el sistema y el fabricante.

En Android, la idea general es ir a Ajustes > Privacidad o Seguridad y privacidad > Gestor de permisos o Panel de privacidad. Ahí verás una lista por tipo de permiso (Cámara, Micrófono, Ubicación, Contactos, etc.) y, dentro de cada categoría, todas las apps que lo están usando. Desde ahí puedes revocar permisos uno por uno, o limitar la ubicación a «Solo mientras se usa la app» cuando sea posible.

El Panel de privacidad de Android 12 y superiores te muestra un historial de qué apps han accedido a qué permisos en las últimas 24 horas o 7 días. Si ves que una app usó el micrófono a las 3 de la mañana, o la ubicación constantemente cuando apenas la abres, algo no cuadra.

También puedes entrar a Ajustes > Apps > y revisar sus permisos individuales. Muchos fabricantes incluyen la opción de «pausar la app si no se usa», de forma que, tras un tiempo inactiva, Android revoca automáticamente ciertos permisos, borra archivos temporales y detiene sus notificaciones.

En iPhone, la gestión se encuentra en Ajustes > Privacidad y seguridad. Verás secciones para Localización, Contactos, Fotos, Micrófono, Cámara, Calendario, Salud, etc. Al entrar en cada una, puedes ver qué apps tienen acceso y ajustar si lo permites siempre, solo al usar la app, una vez o nunca. iOS también ofrece un Informe de privacidad de apps que muestra con qué frecuencia cada app accede a tus datos y a qué dominios se conecta.

Además, puedes ir a Ajustes > y ver de un vistazo todos sus permisos. Desactiva sin miedo los que no tengan sentido: si algo deja de funcionar y realmente lo necesitas, siempre puedes volver a activarlo más tarde.

La trampa de «Aceptar todo» y el mito de que si niegas, la app no funciona

Muchas apps juegan con tus prisas. La primera vez que las abres, te plantan una cascada de cuadros de diálogo pidiéndote permiso para todo de golpe. El diseño está pensado para que pulses «Permitir» en piloto automático con tal de llegar rápido al contenido.

Conviene saber que, sobre todo en Android, no estás obligado a decir que sí a todo desde el principio. Puedes denegar permisos y esperar. Cuando más adelante intentes usar una función que realmente los necesita (por ejemplo, escanear un QR o subir una foto), la app volverá a solicitar ese permiso con más contexto. Es mucho más fácil tomar una decisión informada cuando ves un mensaje del tipo «Necesito la cámara para escanear este código» que una lista fría de ocho permisos en la instalación.

Respecto a si una app deja de funcionar al negar un permiso, la respuesta honesta es: depende. Una buena app está diseñada para degradarse con elegancia: si le quitas la ubicación, quizá no pueda mostrarte recomendaciones cercanas, pero el resto de funciones seguirá operativo. Si todo revienta porque no le diste acceso a tus contactos o al teléfono, es una mala señal.

También hay que desmontar la idea de que las apps pueden acceder a cualquier cosa sin pedírtelo. Para cámara, micrófono, contactos, ubicación y similares, el sistema obliga a pasar por tu consentimiento. Eso sí, hay datos que se pueden recoger sin permiso: modelo de móvil, versión de sistema, idioma, zona horaria, red WiFi a la que estás conectado, etc. Combinados, permiten un perfil bastante fino incluso sin tocar tus fotos o tus mensajes.

Sobre las apps de pago frente a las gratuitas, es cierto que muchas de pago tienen menos incentivos para vivir de tus datos, pero no es una garantía absoluta. Revisa permisos y políticas igual, tanto si te costó cero euros como si era una app «premium».

Plan rápido de limpieza de permisos para mejorar tu privacidad

Si llevas años instalando apps sin mirar nada, es muy probable que tu móvil sea un festival de permisos concedidos de más. Con unos 15 minutos puedes dejarlo mucho más limpio y reducir el riesgo de filtraciones de datos.

Primero, abre el gestor de permisos de tu sistema (en Android, Gestor de permisos o Panel de privacidad; en iOS, Ajustes > Privacidad y seguridad). Empieza revisando los cuatro bloques más críticos: Ubicación, Cámara, Micrófono y Contactos. Para cada uno:

• Quita el permiso a las apps que no tienen una razón obvia para tenerlo.
• Configura la ubicación como «Solo al usar la app» en todo lo que sea posible.
• Comprueba que no haya juegos, linternas o apps de fondo de pantalla con acceso total a contactos o micrófono.

Después, pasa a SMS y Teléfono. Muy pocas apps deberían estar aquí: esencialmente, la de teléfono, el sistema de mensajería por defecto y quizá tu banco o una app de verificación muy concreta. El resto, fuera.

Por último, revisa permisos especiales como accesibilidad, superposición, instalación de apps, administrador del dispositivo y acceso a todos los archivos. Idealmente, solo deberían tenerlos apps de confianza muy claras: un lector de pantalla real, un gestor de archivos reputado, una solución de seguridad, la app corporativa de tu empresa, etc.

Aprovecha la limpieza para desinstalar sin piedad las apps que no uses. Cada aplicación instalada es una superficie de ataque adicional y una fuente potencial de fugas de datos, aunque no la abras nunca.

Si repites esta auditoría cada pocos meses, evitarás sorpresas cuando una app se actualice y empiece a pedir nuevos permisos a escondidas. El objetivo no es vivir paranoico, sino recuperar el control sobre qué pueden y qué no pueden hacer las aplicaciones con tu móvil.

Al final, los permisos de las apps son la frontera entre tu vida digital y quienes quieren sacar partido de ella: desde desarrolladores bienintencionados que solo necesitan que su app funcione, hasta actores maliciosos cuyo negocio se basa en exprimir tus datos. Dedicar unos minutos a leer, cuestionar y ajustar cada solicitud de acceso marca la diferencia entre usar tus aplicaciones con tranquilidad o ir regalando información sensible sin darte cuenta.