Google acaba de dar a periodistas, activistas y investigadores de seguridad algo que Apple ofrece desde 2022: una forma de detectar retrospectivamente si un dispositivo Android ha sido atacado con spyware de grado gubernamental. Lo publica TechCrunch el 12 de mayo de 2026. La función se llama Intrusion Logging, es completamente opt-in y se integra en el Advanced Protection Mode de Android.La razón por la que esto importa más de lo que parece: el spyware moderno —Pegasus de NSO Group, herramientas de Cellebrite, otros sistemas de extracción forense— está diseñado para no dejar rastro. Entra, extrae datos y borra sus huellas. Hasta ahora, investigar un Android comprometido era prácticamente imposible.El problema que Intrusion Logging resuelveDonncha Ó Cearbhaill, investigador de Amnesty International que lleva años documentando casos de spyware en todo el mundo, lo dice directamente en declaraciones a TechCrunch: «Estas limitaciones han significado que no hemos podido detectar de forma fiable ataques conocidos en Android. La capacidad de detectar mejor ataques de spyware debería mejorar con Intrusion Logging.»El contraste con iOS es significativo. Apple introdujo el Lockdown Mode en 2022 y en 2023, investigadores de Citizen Lab confirmaron que había bloqueado activamente un intento de infección con Pegasus. La capacidad de Android de detectar retroactivamente ataques sofisticados era, hasta hoy, muy inferior.Intrusion Logging funciona generando y almacenando logs de actividad del sistema de forma cifrada. Estos logs permanecen disponibles incluso si el dispositivo ha sido reiniciado o si el atacante ha intentado borrar evidencias. Solo el propietario del dispositivo puede exportarlos. Cuando una organización como Amnesty o Citizen Lab investiga un caso, puede solicitar al usuario objetivo que comparta esos logs para el análisis forense.El anuncio llega junto a un paquete más amplio de mejoras de seguridad para Android 2026, entre las que destacan:Verified Financial Calls: cuando recibes una llamada que afirma ser de tu banco, Android verifica en segundo plano con la app de ese banco si hay una llamada activa. Si la app dice que no, Android corta la llamada automáticamente. El spoofing de llamadas bancarias genera pérdidas estimadas de 950 millones de dólares anuales a nivel global.Live Threat Detection actualizado: el sistema de IA en dispositivo que analiza el comportamiento de apps en tiempo real añade nuevas alertas para SMS forwarding (apps que interceptan y reenvían tus mensajes de texto a servidores externos) y abuso de permisos de accesibilidad (apps que explotan la accesibilidad para leer pantalla o hacer clics no autorizados).Dynamic Signal Monitoring: detecta apps que cambian o esconden su icono y se lanzan en background, o que abusan de permisos de accesibilidad. El sistema puede actualizarse dinámicamente para proteger contra amenazas nuevas sin necesidad de actualizar el sistema operativo completo.Protección en descargas de Chrome: si Safe Browsing está activado y intentas descargar un APK desde Chrome, el sistema evalúa el archivo en busca de malware conocido y bloquea la descarga si es necesario.En el análisis del informe del GTIG sobre el primer zero-day generado con IA que publicamos en mayo de 2026, señalábamos que la IA está acelerando el ciclo de descubrimiento de vulnerabilidades. Intrusion Logging es la respuesta defensiva: si los ataques son más rápidos y más invisibles, necesitas mejor capacidad forense para detectarlos ex post.La vulnerabilidad crítica de cPanel que cubrimos en mayo de 2026 era un ejemplo de zero-day que se explotó semanas antes de que existiera un parche. La detección forense de intrusiones pasadas —lo que hace Intrusion Logging— no habría prevenido ese ataque, pero habría permitido a las víctimas saber con certeza si habían sido comprometidas.Mi valoraciónIntrusion Logging es la función de seguridad de Android más importante del año para un perfil de usuario muy específico —periodistas, activistas, investigadores, disidentes— que tiene razones concretas para temer el espionaje de estado. Para el usuario medio, la función seguirá siendo invisible.Lo que más me convence es el diseño: opt-in, cifrado, controlado por el usuario. El propietario del dispositivo decide si exporta los logs y a quién. No es Google quien tiene acceso a esa información; es el usuario. Eso es lo correcto.Lo que más me preocupa es la conciencia. Las personas que más necesitan activar Intrusion Logging son con frecuencia las que menos saben que existe. La función es opt-in, lo que implica que requiere educación activa en organizaciones de derechos humanos, medios de comunicación y redes de apoyo a disidentes. La distribución del conocimiento es tan importante como la función en sí.Lo más significativo es el precedente. Que Google haya lanzado Intrusion Logging específicamente diseñada para spyware de grado gubernamental es un reconocimiento público de que el estado-actor es una amenaza real para usuarios de Android. Eso implica presión para que NSO Group, Cellebrite y sus equivalentes tengan que trabajar más para cubrir sus huellas.Preguntas frecuentes¿Qué es Intrusion Logging de Android y para quién está diseñado?Intrusion Logging es una función opt-in de Android 17 integrada en el Advanced Protection Mode, diseñada para ayudar a detectar si un dispositivo ha sido atacado con spyware sofisticado de grado gubernamental. Está pensada especialmente para periodistas, activistas, abogados y disidentes que tienen motivos concretos para temer el espionaje de actores estatales.¿Cómo funciona Intrusion Logging para detectar spyware?El sistema genera y almacena logs cifrados de la actividad del sistema que persisten incluso si el dispositivo es reiniciado o si el atacante intenta borrar evidencias. Solo el propietario puede exportar esos logs. En casos de investigación forense, organizaciones como Amnesty International o Citizen Lab pueden solicitar al usuario que comparta esos logs para analizar si hay huellas de spyware conocido.¿Qué son las Verified Financial Calls de Android 2026?Verified Financial Calls es una función de Android que protege contra el spoofing de llamadas bancarias. Cuando recibes una llamada que afirma ser de tu banco (con un número identificador que puede estar falsificado), Android verifica en segundo plano con la app oficial de ese banco si hay efectivamente una llamada activa. Si la app confirma que no hay llamada en curso, Android corta la comunicación automáticamente.La noticia Google lanza Intrusion Logging en Android: el primer sistema que deja huellas del spyware gubernamental para que los investigadores puedan encontrarlas fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.