Android 16 estrena Intrusion Logging, la primera herramienta diseñada para detectar spyware en teléfonos
Google lanzó una función que registra eventos de seguridad cifrados en la nube una vez al día. Amnesty International colaboró en su desarrollo y lo califica como un cambio fundamental en el análisis forense de Android.
El 12 de mayo de 2026, Google anunció Intrusion Logging, una nueva función de seguridad incluida en Android 16 que marca la primera vez que un fabricante de smartphones lanza una herramienta diseñada específicamente para ayudar a investigadores a detectar ataques de spyware. La novedad llega dentro de Advanced Protection Mode, el modo reforzado que Google presentó hace un año para proteger a periodistas, activistas, disidentes y defensores de derechos humanos.
La función está disponible, por ahora, únicamente en dispositivos Google Pixel que corran Android 16 o posterior y estén vinculados a una cuenta de Google activa. La restricción no es arbitraria: el modo en que funciona el sistema depende de la nube de Google como destino de los registros cifrados.
Intrusion Logging actúa una vez al día. El sistema recopila eventos de seguridad del dispositivo, los cifra y los sube a la cuenta de Google del usuario. Lo que registra incluye el momento en que se desbloqueó el teléfono, qué aplicaciones se instalaron o desinstalaron y cuándo, a qué sitios web y servidores se conectó el dispositivo, si alguien intentó acceder a través de Android Debug Bridge (ADB, una herramienta que permite a computadoras o equipos de análisis forense conectarse directamente al sistema operativo), y cualquier intento de eliminar esos mismos registros. Este último punto es el más relevante desde el punto de vista forense: si un atacante trata de borrar las huellas, el sistema deja constancia de ese intento.
Donncha Ó Cearbhaill, jefe del Security Lab de Amnesty International, explicó a TechCrunch el problema de fondo que esta función viene a resolver. Según declaró, los límites técnicos de Android "han hecho difícil analizar profundamente registros del sistema y archivos en busca de signos de compromiso, a diferencia de iOS". Y agregó: "Estos límites han significado que no hayamos podido detectar de manera confiable ataques conocidos contra Android".
No es una crítica menor. Desde hace años, los investigadores de seguridad que rastrean el uso de spyware gubernamental señalan que iOS ofrece más superficie de análisis forense que Android, lo que hace más difícil determinar si un dispositivo Android fue comprometido y de qué manera. Intrusion Logging apunta directamente a esa debilidad estructural del ecosistema.
Amnesty International colaboró con Google en el desarrollo de la función y publicó su propia evaluación del lanzamiento. La organización afirmó que "Intrusion Logging es un cambio fundamental en la cantidad y calidad de datos forenses disponibles en dispositivos Android". Para quienes llevan años documentando casos de abuso de spyware en decenas de países, esa afirmación tiene peso específico.
Advanced Protection Mode fue lanzado por Google con un perfil de usuario muy definido: personas con razones concretas para creer que actores sofisticados, incluyendo agencias gubernamentales, podrían intentar infiltrar sus dispositivos. Google lo presenta como su respuesta al Lockdown Mode de Apple, que fue diseñado con el mismo objetivo de protección reforzada. En marzo de 2026, Apple declaró que nunca ha registrado un ataque exitoso contra usuarios que tenían Lockdown Mode activo. En 2023, investigadores de Citizen Lab documentaron que ese modo bloqueó activamente un intento de instalar el spyware Pegasus de NSO Group en un dispositivo objetivo.
El historial de abusos que justifica estas herramientas es largo. Amnesty International ha documentado decenas de casos en todo el mundo. Según el reporte de TechCrunch, la organización encontró que autoridades en Serbia utilizaron herramientas forenses de la empresa Cellebrite para desbloquear dispositivos y luego instalar spyware como paso adicional para mantener vigilancia sobre sus objetivos. Un ataque en dos fases: primero acceso físico y luego infección silenciosa.
Este tipo de operación es exactamente el escenario que Intrusion Logging podría ayudar a documentar después del hecho. La función no bloquea un ataque mientras ocurre, no alerta al usuario en tiempo real ni detiene la instalación de software malicioso. Su propósito es distinto: dejar un registro cifrado, fuera del alcance del dispositivo físico, que un investigador pueda analizar para reconstruir lo que pasó.
La diferencia entre tener esa evidencia y no tenerla puede ser enorme. En casos de persecución política o vigilancia gubernamental, la capacidad de demostrar técnicamente que un dispositivo fue comprometido es la diferencia entre una acusación documentada y una anécdota sin pruebas. O al menos esa es la versión oficial del lanzamiento.
La expansión de Intrusion Logging a dispositivos que no sean Pixel no tiene fecha anunciada. Por ahora, quienes trabajen con Android de otras marcas, que son la gran mayoría de los usuarios de alto riesgo fuera de mercados donde Pixel tiene presencia, no tienen acceso a la función. Google no especificó si o cuándo planea ampliar el soporte a otros fabricantes.
Queda abierta la pregunta que el anuncio no responde: los actores que despliegan spyware sofisticado tienen recursos e incentivos para estudiar exactamente cómo funciona Intrusion Logging y encontrar maneras de interferir con los registros antes de que lleguen a la nube, o de operar dentro de ventanas que el sistema no cubre. La carrera entre herramientas de vigilancia y mecanismos de detección no se detiene porque un fabricante anuncie una nueva función.
Pero es un punto de partida concreto. Y, según Amnesty International, un cambio fundamental en el ecosistema Android. Por ahora, eso es lo que hay.