Una nueva amenaza cibernética llamada Pixnapping está poniendo en jaque la seguridad de millones de usuarios de teléfonos Android. Este ataque, descubierto por un grupo de investigadores académicos, permite a aplicaciones maliciosas robar información sensible directamente de la pantalla del dispositivo, sin necesidad de permisos especiales ni acceso root. Lo más preocupante es que puede sustraer códigos de autenticación en dos pasos, conocidos como 2FA, en menos de medio minuto, y hacerlo de forma completamente oculta para el usuario.
Pixnapping no explota una vulnerabilidad convencional en el software, sino que aprovecha una combinación de interfaces de programación (APIs) de Android y un canal lateral relacionado con el hardware del dispositivo. Esto significa que el ataque puede funcionar en prácticamente todos los móviles Android modernos, independientemente de la marca o modelo, siempre que se cumplan ciertas condiciones.
El ataque requiere que el usuario instale una aplicación maliciosa, algo que suele ocurrir al descargar programas desde fuentes no oficiales o al caer en ingeniería social.
Como funciona este robo silencioso
Una vez instalada la app maliciosa, esta puede leer cualquier dato que aparezca en pantalla en tiempo real. Esto incluye mensajes privados de aplicaciones como Signal, códigos temporales generados por Google Authenticator, detalles de transacciones en Venmo o información sensible que se muestre en Gmail o Google Maps. El ataque permite la recuperación integral de datos confidenciales, lo que lo convierte en una herramienta extremadamente peligrosa para el espionaje digital.
Los investigadores probaron con éxito el ataque en dispositivos de alta gama como los Google Pixel 6, 7, 8 y 9, así como en el Samsung Galaxy S25. Esto demuestra que ni los móviles mejor actualizados ni los que cuentan con las últimas versiones del sistema operativo están exentos de riesgo si no se aplican las medidas de protección adecuadas.
"Nuestro ataque contra Google Authenticator permite que cualquier aplicación maliciosa robe códigos de 2FA en menos de 30 segundos, ocultando el ataque al usuario" -
investigadores académicos
Es importante aclarar que Pixnapping no puede acceder a información que nunca se muestra en pantalla, como claves secretas almacenadas en el sistema pero no visualizadas. Esto limita su alcance, pero no disminuye su gravedad, dado que muchos servicios muestran temporalmente códigos 2FA o fragmentos de mensajes que pueden ser capturados en el momento preciso.
Google responde, pero no es suficiente
Google ya lanzó un parche conocido como CVE-2025-48561 hace varias semanas, con el objetivo de mitigar las condiciones que permiten el ataque. Sin embargo, los investigadores han confirmado que Pixnapping aún puede funcionar incluso en dispositivos actualizados con esta corrección. El problema no está completamente resuelto, lo que deja una ventana de vulnerabilidad abierta hasta que se implemente una solución más robusta.
La compañía ha anunciado que lanzará un nuevo parche adicional en el boletín de seguridad de Android de diciembre, lo que sugiere que se toma en serio esta amenaza. Aun así, la dependencia de los usuarios en la instalación oportuna de actualizaciones sigue siendo un eslabón débil en la cadena de seguridad.
Qué pueden hacer los usuarios de Android
- Evitar instalar aplicaciones fuera de la Google Play Store, incluso si parecen confiables
- Revisar periódicamente qué aplicaciones tienen acceso a funciones sensibles
- Actualizar el sistema operativo tan pronto como esté disponible una nueva versión de seguridad
- Considerar el uso de autenticadores basados en hardware o dispositivos de seguridad externos para proteger cuentas críticas
En un mundo donde el móvil es la llave a nuestra identidad digital, descubrimientos como Pixnapping nos recuerdan que la seguridad no es solo responsabilidad del fabricante, sino también del usuario. Cada instalación, cada clic, puede convertirse en una brecha. La vigilancia, aunque cansada, sigue siendo la mejor defensa.