Google AndroidSeguridad

Nueva falla permite robar códigos 2FA de equipos Android, así funciona Pixnapping

15 octubre, 2025

Los investigadores de seguridad acaban de confirmar algo que nos pone los pelos de punta: existe una nueva forma de robar información sensible de teléfonos Android… y funciona en menos de un minuto.​

La técnica se llama Pixnapping. Suena extraño, ¿verdad? Pues bien, este método permite a aplicaciones maliciosas extraer códigos de autenticación de dos factores (2FA), mensajes privados, historial de ubicaciones y prácticamente cualquier cosa visible en la pantalla.​

Los teléfonos afectados

La investigación confirmó que varios modelos populares son vulnerables a Pixnapping. Entre ellos están el Google Pixel 6, Pixel 7, Pixel 8 y Pixel 9, además del flamante Samsung Galaxy S25. Todos ellos ejecutando versiones de Android desde la 13 hasta la 16.​

Pero ojo: los investigadores de la Universidad de California, Universidad de Washington y Carnegie Mellon advierten que el ataque podría modificarse para funcionar en muchos otros dispositivos Android.

La razón es simple – los mecanismos que Pixnapping explota están presentes en prácticamente todos los teléfonos con este sistema operativo.​

«Conceptualmente, es como si cualquier aplicación pudiera tomar capturas de pantalla de otras apps o sitios web sin permiso. Esto viola de forma fundamental el modelo de seguridad de Android», explicó Riccardo Paccagnella, uno de los investigadores.​

Cómo funciona el robo de datos

El proceso es inquietante por lo silencioso. Primero, la víctima instala sin saberlo una aplicación maliciosa. Esta app utiliza las interfaces de programación (APIs) de Android para hacer que otras aplicaciones muestren información específica en pantalla.​

Por ejemplo, puede forzar a Google Authenticator a mostrar un código 2FA o hacer que WhatsApp abra un hilo de conversación. Toda esa información se envía al sistema de renderizado de Android, que es básicamente el encargado de dibujar los píxeles en tu pantalla.​

Aquí viene la parte técnica (pero con una explicación fácil): la aplicación maliciosa realiza operaciones gráficas sobre píxeles específicos y luego mide cuánto tiempo tarda en procesarse cada uno. Con esas mediciones, reconstruye la imagen completa pixel por pixel.​

Alan Linghao Wang, autor principal del estudio, lo describió así:

Supongamos que el atacante quiere robar un píxel que forma parte de la región donde Google Authenticator muestra un número del código 2FA.

Ese píxel será blanco si no hay nada ahí, o de otro color si hay parte de un dígito. El atacante causa operaciones gráficas cuyo tiempo de renderizado es largo si el píxel tiene contenido y corto si está vacío.​

Qué tan efectivo es Pixnapping

Los números asustan. En las pruebas realizadas, los investigadores lograron recuperar códigos de seis dígitos de Google Authenticator con diferentes tasas de éxito: 73% en Pixel 6, 53% en Pixel 7, 29% en Pixel 8 y 53% en Pixel 9.​

El tiempo promedio para robar un código completo fue de entre 14 y 26 segundos. Aquí está el problema: los códigos 2FA suelen ser válidos durante 30 segundos. O sea que hay tiempo de sobra para robarlos antes de que expiren.​

«Cualquier cosa visible cuando la aplicación objetivo está abierta puede ser robada usando Pixnapping. Mensajes de chat, códigos 2FA, correos electrónicos… todo es vulnerable porque es visible», señalaron los investigadores.​

Sin embargo, hay un respiro: si una app guarda información secreta que nunca se muestra en pantalla (como claves de cifrado almacenadas internamente), Pixnapping no puede robarla.​

La respuesta de Google

Google tomó cartas en el asunto. Un vocero de la compañía confirmó que lanzaron un parche en el boletín de seguridad de septiembre para mitigar parcialmente el problema. La vulnerabilidad está registrada como CVE-2025-48561.​

«Emitimos un parche para CVE-2025-48561 en el boletín de seguridad de Android de septiembre, que mitiga parcialmente este comportamiento. Emitiremos un parche adicional en el boletín de diciembre. No hemos visto evidencia de explotación en el mundo real», declaró el portavoz a Ars Technica.​

No obstante, los investigadores tienen malas noticias: una versión modificada del ataque Pixnapping sigue funcionando incluso después de instalar la actualización de septiembre. Encontraron una forma de eludir el parche.​

Los expertos creen que solucionar Pixnapping de forma definitiva requerirá cambios profundos en los mecanismos centrales de Android. Por ejemplo, permitiendo que las aplicaciones impidan que otras apps dibujen contenido encima de información sensible.​

Etiquetas
15 octubre, 2025

Artículos relacionados

DNS bajo ataque, una campaña global usa Aeza para desviar tráfico desde routers antiguos

hace 18 horas

Google presenta el nuevo Pixel 10a por $499 dólares, preventa a partir del 5 de marzo

hace 1 día

nubia V80 Max llega a México, resistencia extrema y autonomía sin límites

hace 2 días

Xiaomi revela lista completa de dispositivos elegibles para HyperOS 4.0 con Android 17

hace 2 días
Botón volver arriba
PasionMóvil
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible.

La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudarnos a comprender qué secciones de la web encuentras más interesantes y útiles.

Nunca almacenamos información personal.

Tienes toda la información sobre privacidad, derechos legales y cookies en nuestra página de privacidad y cookies.