¿Es seguro CamScanner en 2026?

Frente al código malicioso, lo más probable es que sí, pero los compromisos estructurales sobre privacidad siguen ahí. El incidente de 2019 con el Trojan-Dropper que Kaspersky Lab encontró dentro de un SDK de publicidad de terceros fue corregido por INTSIG y la app volvió a Google Play. No se han registrado repeticiones públicas de ese caso. El resto de problemas son permanentes: los documentos se suben a los servidores de CamScanner bajo jurisdicción china de datos y el plan gratuito incorpora SDK de publicidad que recopilan información del dispositivo. Si esto es aceptable o no depende de la sensibilidad de tus escaneos.

¿Qué pasó con el código malicioso en CamScanner en 2019?

En agosto de 2019, los investigadores de Kaspersky Lab encontraron Trojan-Dropper.AndroidOS.Necro.n dentro de un SDK de publicidad de terceros incrustado en la versión Android de CamScanner. El componente podía descargar y ejecutar código remoto, mostrar publicidad intrusiva y suscribir a los usuarios a servicios de pago sin su consentimiento. Google retiró CamScanner de la Play Store. INTSIG eliminó el SDK responsable, publicó una actualización y finalmente regresó a la tienda. La versión iOS no se vio afectada por este caso concreto: el SDK malicioso era específico de Android.

¿Dónde almacena CamScanner mis escaneos?

En los servidores de INTSIG Information Co., Ltd., empresa con sede en Shanghái, China. Cuando escaneas un documento y se sincroniza con la nube de CamScanner, los datos quedan en infraestructura sujeta a la legislación china sobre datos: Ley de Ciberseguridad (2017), Ley de Seguridad de Datos (2021) y PIPL (2021). Estas normas otorgan al gobierno chino amplias competencias para acceder a los datos de las empresas bajo su jurisdicción. Si las ha utilizado en el caso de CamScanner no se conoce públicamente, pero el marco jurídico para ese acceso existe.

¿En qué se diferencia CamScanner de un escáner en el dispositivo como ScanLens?

CamScanner usa OCR en la nube y sincronización en la nube por defecto: los documentos escaneados y los resultados del reconocimiento pasan por los servidores de INTSIG. ScanLens usa Apple Vision (la API VNRecognizeTextRequest) y ejecuta el OCR íntegramente en el iPhone: los documentos no salen del dispositivo. El OCR en la nube puede superar al on-device en escaneos dañados o atípicos, pero para documentos impresos limpios, en 2026 la diferencia de precisión es insignificante. La diferencia estructural está en la jurisdicción y en el lugar donde se procesa el archivo.

¿Conviene usar CamScanner para documentos confidenciales?

Probablemente no. Para documentos fiscales, historiales médicos, contratos jurídicos o cualquier cosa a la que no quieras dar acceso a un tercero, un escáner que procesa todo en el dispositivo, sin subir el archivo a un servidor remoto, elimina por completo el riesgo estructural. CamScanner sigue siendo una herramienta competente para documentos de baja sensibilidad, donde la compatibilidad multiplataforma y un flujo de trabajo conocido pesan más que la ubicación de los datos. Para documentos privados en iOS, las alternativas con procesado en el dispositivo resuelven el problema de raíz.

¿Es seguro CamScanner? Cuestiones de privacidad

CamScanner, frente al código malicioso, hoy es probablemente seguro, pero los compromisos sobre privacidad son notables: los documentos se suben a servidores bajo jurisdicción china, se incorporan SDK de publicidad que recopilan información del dispositivo y para tener todas las funciones se exige una cuenta que liga tu actividad a un perfil permanente. El incidente de 2019 con el Trojan-Dropper que halló Kaspersky Lab fue corregido, pero las preocupaciones estructurales se mantienen. Este artículo expone los hechos públicos, explica los compromisos y deja las conclusiones en tus manos.

Antes de empezar: nosotros hacemos ScanLens, un escáner competidor, así que tenemos un interés evidente. Hemos intentado ser factuales y honestos. Todo lo citado a continuación procede de fuentes públicas: la investigación de Kaspersky Lab, los reportajes de Forbes y The Verge y la política de privacidad publicada por CamScanner. No hacemos afirmaciones más allá del registro público.

¿Qué es CamScanner?

CamScanner es una aplicación de escaneo de documentos de INTSIG Information Co., Ltd., empresa con sede en Shanghái, China. Está disponible en Android e iOS desde hace más de una década y es uno de los escáneres más descargados del mundo. Incluye escaneo de documentos, OCR, almacenamiento en la nube, conversión a PDF y compartición.

La aplicación funciona con un modelo freemium: publicidad en el plan gratuito y una suscripción Premium que la elimina y desbloquea funciones extra. CamScanner exige crear una cuenta para usar el conjunto completo de funciones y los documentos escaneados se sincronizan con sus servidores en la nube.

Durante años, CamScanner fue la recomendación obvia para quien necesitase escanear documentos desde el móvil. Eso cambió en agosto de 2019.

El incidente del código malicioso de 2019

En agosto de 2019, investigadores de Kaspersky Lab —una de las empresas de ciberseguridad más conocidas del mundo— encontraron código malicioso dentro de la versión Android de CamScanner. En concreto: un componente Trojan-Dropper (Trojan-Dropper.AndroidOS.Necro.n) incrustado en una librería publicitaria de terceros que CamScanner había integrado en la app.

El Trojan-Dropper podía descargar y ejecutar más código malicioso en el dispositivo del usuario. Según el análisis de Kaspersky, el módulo malicioso podía mostrar publicidad intrusiva, suscribir a usuarios a servicios de pago sin su conocimiento y ejecutar código arbitrario procedente de servidores remotos. El hallazgo fue tan grave que Google retiró CamScanner de la Play Store. El caso lo cubrieron Forbes, The Verge, ZDNet y muchos otros medios tecnológicos.

Para muchos usuarios fue la primera vez que una app de productividad masiva y muy bien valorada resultó vehículo de código esencialmente malicioso, no por un hackeo, sino por culpa de un SDK de terceros que el desarrollador decidió incluir.

Lo que pasó después

Por ser justos con INTSIG, la empresa reaccionó. CamScanner retiró el SDK publicitario responsable, publicó una versión actualizada y acabó por ser readmitida en Google Play Store. INTSIG atribuyó el problema a la librería publicitaria de terceros y no a su propio código, lo cual es plausible: este tipo de compromiso de cadena de suministro a través de SDK de publicidad es un riesgo conocido del ecosistema móvil y otras apps han pasado por situaciones parecidas.

La aplicación está disponible en las dos tiendas principales desde que se resolvió el incidente. No ha habido repeticiones públicas concretamente de ese problema. Hay que reconocerlo. El incidente de 2019 no significó que los desarrolladores de CamScanner distribuyeran código malicioso a propósito. Significó que el SDK de publicidad elegido para monetizar la app introdujo una vulnerabilidad seria. La pregunta es qué dice eso sobre los compromisos del modelo de negocio de la aplicación.

Jurisdicción de los datos: qué implica el vínculo con China

Al margen del incidente de 2019, CamScanner plantea otra cuestión de privacidad que no tiene nada que ver con bugs ni con código defectuoso. INTSIG tiene su sede en Shanghái y, como cualquier empresa que opera en China, está sujeta a la legislación china sobre datos.

El marco normativo chino —que incluye la Ley de Ciberseguridad (2017), la Ley de Seguridad de Datos (2021) y la Ley de Protección de la Información Personal (2021)— concede al gobierno chino amplias competencias para acceder a los datos almacenados por empresas bajo su jurisdicción. No es una conjetura ni un comentario editorial: es el texto de las leyes.

Cuando escaneas un documento con CamScanner y se sube a sus servidores, los datos quedan en infraestructura gestionada por una empresa bajo jurisdicción china. Si el gobierno chino ha utilizado sus competencias para acceder a datos de usuarios de CamScanner no se conoce públicamente. Pero el marco jurídico que permite ese acceso existe.

Para algunos usuarios —sobre todo quienes escanean documentos financieros personales, expedientes jurídicos, información médica o contratos profesionales— esa cuestión jurisdiccional pesa más que cualquier incidente pasado de código malicioso. El código malicioso fue un bug subsanable. La jurisdicción es estructural.

Esto no es exclusivo de CamScanner. Cualquier app operada por una empresa bajo cualquier jurisdicción está sujeta a las leyes de acceso a datos de ese país. La pregunta es si esa jurisdicción concreta te resulta cómoda dada la sensibilidad concreta de lo que escaneas.

Qué dice la política de privacidad de CamScanner

La política de privacidad de CamScanner, accesible públicamente en su web, describe un conjunto estándar de prácticas: recopilación de datos del usuario mediante el registro de cuenta, analítica del uso de la app, almacenamiento de los documentos escaneados en servidores en la nube para sincronización y socios analíticos externos que ayudan a evaluar el comportamiento del usuario.

En concreto, la política indica que los datos pueden transferirse dentro de la estructura corporativa de INTSIG, incluida infraestructura en China, y que la empresa cumple las leyes de acceso a datos aplicables en su jurisdicción. Es el lenguaje habitual de una app en la nube, pero choca con un modelo de procesamiento totalmente en el dispositivo, donde la política de privacidad sobre el tratamiento de los documentos cabe en una línea: los documentos no salen de tu teléfono. En el contexto europeo, ese modelo encaja mejor con los principios del RGPD y la LOPDGDD que un escáner que sube por defecto archivos sensibles fuera del EEE.

Qué ofrecen, en cambio, las alternativas privadas

Si la privacidad es prioridad, hay varios enfoques estructurales que adoptan los escáneres centrados en privacidad:

OCR en el dispositivo. El reconocimiento de texto se ejecuta en el teléfono mediante Apple Vision o motores locales equivalentes, sin subir el documento a un servidor remoto. ScanLens, por ejemplo, usa Apple Vision en iPhone: los documentos no van a ninguna nube durante el OCR.
Sin cuenta obligatoria. Instalación y uso sin registro, sin atar la actividad de escaneo a un perfil permanente.
Sin publicidad. Un escáner que no se financia con anuncios: ningún SDK publicitario que pueda originar el próximo «incidente AdHub».
Tu propia nube para sincronizar. Si necesitas nube, que sea tu iCloud, Google Drive, Dropbox o OneDrive, no la nube propietaria de CamScanner.
Jurisdicción de casa. Los documentos se quedan en tu dispositivo, en tu país, bajo tus leyes.

Son diferencias estructurales, no de marketing. Responden a la misma pregunta básica —dónde están tus documentos y quién accede a ellos— con una decisión arquitectónica distinta.

Resumen

¿Es seguro CamScanner hoy? Frente al código malicioso, probablemente sí, y el incidente de 2019 no se ha repetido. Pero «no hay malware» no equivale a «privado». El modelo de negocio —procesado en la nube, SDK publicitarios en el plan gratuito, cuenta obligatoria, jurisdicción china— hace que tus documentos los vean más personas y sistemas que en un modelo de procesado en el dispositivo. Para documentos de baja sensibilidad puede valer. Para documentos de alta sensibilidad, conviene plantearse una alternativa estructuralmente más privada.

Si crees que la privacidad merece cambiar de herramienta, mira la comparativa ScanLens vs CamScanner — con tablas detalladas y desglose de precios. O empieza por la página principal de ScanLens: descarga gratis, sin cuenta, OCR en el dispositivo.

¿Qué es CamScanner?

El incidente del código malicioso de 2019

Lo que pasó después

Jurisdicción de los datos: qué implica el vínculo con China

Qué dice la política de privacidad de CamScanner

Qué ofrecen, en cambio, las alternativas privadas

Resumen

Artículos relacionados

OCR en el dispositivo vs en la nube: privacidad, velocidad, precisión

Alternativa a CamScanner para iPhone

Escáner PDF gratis para iPhone