Una importante falla espía tu pantalla en Android sin pedir permisos
Una app sin permisos puede espiar la pantalla midiendo tiempos de renderizado (GPU.zip). Google lanzó mitigaciones y prevé correcciones amplias en diciembre.
Investigadores de seguridad demostraron un ataque de nueva generación, Pixnapping, capaz de robar lo que aparece en pantalla en dispositivos Android sin solicitar permisos.
QuillBotInvestigadores de seguridad demostraron un ataque de nueva generación, Pixnapping, capaz de robar lo que aparece en pantalla en dispositivos Android sin solicitar permisos. El vector explota un canal lateral de hardware (GPU.zip) para inferir, píxel por píxel, contenidos mostrados en otras apps o sitios: desde fragmentos de Google Maps y Gmail hasta datos de 'Signal', 'Venmo' y códigos 2FA de Google Authenticator. La vulnerabilidad fue catalogada como 'CVE-2025-48561' y afecta Android 13 a 16 (incluidos Pixel 6–9 y Galaxy S25). Google liberó un parche parcial en septiembre de 2025 y prevé una mitigación más amplia en diciembre.
Cómo funciona y por qué importa
Pixnapping revive una técnica basada en navegador de hace 12 años, pero la traslada al contexto actual de Android combinándola con mediciones de tiempo de renderizado de la GPU. El atacante superpone actividades transparentes y, al cronometrar qué tan rápido se pintan ciertos píxeles, reconstruye el contenido de 0,6 a 2,1 píxeles por segundo. Puede parecer lento, pero alcanza para extraer información sensible como códigos de autenticación o fragmentos de datos privados.
El riesgo es estructural: no se trata de un 'bug' de una app puntual sino de cómo el hardware procesa datos gráficos. Los canales laterales son difíciles de detectar y de erradicar, y no requieren permisos visibles para el usuario. En el escenario de amenaza, una app 'inofensiva' de Google Play podría, en segundo plano, observar tu pantalla y capturar información crítica sin disparar alertas. Aunque Google reporta sin evidencia de explotación activa, la existencia del método desafía las defensas tradicionales basadas en permisos, sandboxing y monitoreo de API.
-
Te puede interesar
Gmail: seis pasos clave para evitar hackeos y mantener tu cuenta segura
Qué sigue y cómo protegerte hoy
Google anunció mitigaciones adicionales: límites al abuso de la API de desenfoque, mejoras de detección y el despliegue progresivo de correcciones a nivel sistema. Sin embargo, los investigadores advierten que ya existen rodeos y que el problema subyacente (GPU.zip) permanece abierto, por lo que podrían aparecer variantes más veloces y precisas a medida que los atacantes perfeccionen la técnica.
Medidas recomendadas (prácticas y de impacto inmediato):
- Actualizá tu equipo a la última versión disponible de Android/firmware y Google Play Services.
- Instalá solo apps de confianza. Evitá títulos desconocidos, clónicos o con reseñas sospechosas.
- Revisá permisos y actividad en segundo plano. Desinstalá lo que no uses o no reconozcas.
- Endurecé 2FA: usá llaves de seguridad o aplicaciones con protección adicional; rotá códigos si sospechás exposición.
- Minimizá contenido sensible en pantalla cuando no sea necesario (banca, códigos, direcciones).
- Monitoreá futuras actualizaciones de seguridad de tu fabricante y aplicalas de inmediato.
Contexto de versiones y parches:
- CVE-2025-48561 impacta Android 13–16 (familias Pixel 6–9, Galaxy S25 y modelos compatibles).
- Parche parcial: septiembre de 2025.
- Mitigación ampliada prevista: diciembre (despliegue gradual).
Pixnapping no rompe el sistema de permisos; lo esquiva. Es una llamada de atención sobre riesgos de hardware en plataformas móviles y un anticipo de nuevas campañas de canal lateral. Hasta que llegue una solución permanente, la higiene digital y las actualizaciones rápidas son tu mejor defensa.