Android arranca junio con uno de esos boletines de seguridad que conviene mirar dos veces. Google ha corregido fallos en el Framework, en componentes del sistema, en el kernel y en piezas firmadas por varios fabricantes de chips que están presentes en muchos móviles del mercado.
Lo más delicado aparece en el propio corazón del sistema. El boletín de junio de 2026 identifica las vulnerabilidades CVE-2025-65018 y CVE-2025-64720 en el Framework de Android, y ambas podrían permitir una escalada remota de privilegios sin permisos adicionales y sin interacción del usuario.
Google dividió el parche en dos fechas para cubrir más capas
El calendario del parche vuelve a mostrar cómo Android reparte sus defensas por niveles. La actualización con fecha 2026-06-01 reúne las correcciones base del sistema, mientras la versión 2026-06-05 añade arreglos del kernel y parches para componentes de fabricantes.
Ahí entran nombres muy conocidos para cualquiera que haya abierto la ficha técnica de un teléfono. Google incluye correcciones para piezas de Qualcomm, MediaTek, Unisoc e Imagination Technologies, además de fallos que afectan a GPUs PowerVR.
Ese detalle importa porque muchas marcas combinan Android con hardware de terceros, y un agujero en cualquiera de esas capas puede comprometer el conjunto. En este caso, el boletín de junio corrige fallos en el sistema base y también en chips usados por muchos fabricantes.
Una de las alertas apunta a ataques limitados y dirigidos
No todas las entradas del boletín tienen el mismo peso narrativo, pero una destaca de inmediato. Google señala que la vulnerabilidad CVE-2025-48595 podría estar siendo explotada de forma limitada y dirigida por usuarios externos.
La fórmula es prudente, aunque el mensaje resulta claro. No habla de una campaña masiva, pero sí de un fallo que podría haber salido del terreno teórico y haber entrado en ataques concretos, un escenario que obliga a mirar las actualizaciones con menos apatía de la habitual.
Además, el componente System de Android recibe correcciones para un fallo capaz de permitir una escalada local de privilegios sin permisos adicionales ni interacción del usuario. A eso se suman errores de denegación de servicio, divulgación de información y ejecución remota de código.
Xiaomi tendrá que trasladar estas correcciones a Redmi y POCO
Ahora empieza la parte que el usuario nota de verdad, que no depende solo de Google. Xiaomi liberará oficialmente la actualización para los dispositivos compatibles de Xiaomi, Redmi y POCO en los próximos días.
Para esos equipos, el boletín resulta especialmente relevante porque incluye parches para chips Qualcomm, MediaTek y Unisoc, además de GPUs PowerVR presentes en terminales de la marca. No es una corrección aislada de software puro, sino una revisión que toca varias capas del teléfono al mismo tiempo.
Entre dos fechas de parche, dos vulnerabilidades críticas en el Framework y una CVE que Google vincula a una explotación limitada y dirigida, junio deja una imagen poco cómoda. El riesgo no está en una sola pieza, sino repartido entre el sistema, el kernel y el hardware que sostiene buena parte del catálogo Android.