Un grupo de investigadores expertos en ciberseguridad descubrió una nueva técnica que pone en jaque la seguridad de los smartphones que usan sistemas operativos de Android.
El método, bautizado como Pixnapping, permite a un atacante robar códigos de verificación en dos pasos (2FA), mensajes privados y otros datos sensibles que aparecen en pantalla, en menos de 30 segundos.
Lo más inquietante es que la app maliciosa necesaria para ejecutar el ataque no necesita permisos especiales, algo inusual en este tipo de vulnerabilidades.
Esto significa que basta con que el usuario instale una aplicación aparentemente inofensiva para que el atacante, sin acceder directamente a los archivos del sistema, pueda ver todo lo que aparece en la pantalla del dispositivo de la víctima.
Según el grupo de expertos, compuesto por especialistas de las universidades de California y Washington, este ataque fue probado en smartphones de diferentes marcas, con tasas de éxito que oscilaron entre el 29% y el 73%, dependiendo del modelo.
El ataque funciona explotando un canal lateral en la GPU del dispositivo, una especie de fuga de información que surge del modo en que los gráficos son procesados. En la práctica, la app maliciosa puede reconstruir lo que se muestra en pantalla pixel por pixel, como si tomara una captura oculta del teléfono, sin necesidad de permisos ni acceso al sistema.
Cómo se roba un código de autenticación en segundos
El proceso descubierto se desarrolla en tres etapas:
- Provocar la visualización del dato. La app maliciosa usa funciones del sistema para abrir la aplicación objetivo y hacer que muestre el contenido que el atacante quiere robar, como un código de autenticación o un chat.
- Medir el tiempo de renderizado. Luego ejecuta operaciones gráficas que permiten inferir, según el tiempo que tarda en procesarse cada cuadro, si un píxel es de un color determinado.
- Reconstruir la imagen. Con esos datos, el sistema puede deducir letra por letra lo que está visible en pantalla.
En los experimentos, Pixnapping logró robar los seis dígitos de un código de Google Authenticator en un promedio de entre 14 y 25 segundos, dentro del margen de validez de 30 segundos que tienen este tipo de contraseñas temporales.
Qué dice Google sobre esta vulnerabilidad
Google reconoció la existencia de la vulnerabilidad, registrada como CVE-2025-48561, e informó que lanzó una mitigación parcial en el boletín de seguridad de septiembre.
Además, la empresa anunció que en diciembre llegará un nuevo parche para reforzar la protección y aclaró que por ahora no hay evidencia de que el ataque haya sido usado fuera de entornos de laboratorio.
De todas maneras, el descubrimiento genera preocupación porque revela una debilidad estructural en la forma en que Android maneja la seguridad visual entre aplicaciones. En teoría, una app no debería poder acceder a lo que muestra otra
Cómo estar preparado para evitar este fraude
Los especialistas recomiendan tomar precauciones básicas que siguen siendo efectivas:
- Instalar apps solo desde fuentes oficiales, como Google Play.
- Mantener el dispositivo actualizado con los últimos parches de seguridad.
- Evitar aplicaciones que pidan superposición de pantalla, por ejemplo, aquellas que ofrecen dibujar sobre otras apps.
Aunque Pixnapping es un ataque complejo y solo probado en laboratorio, el experimento expone un punto débil del ecosistema Android: la frontera entre las apps y lo que se muestra en pantalla no es tan hermética como se pensaba.
Y en un contexto donde los ciberataques evolucionan cada vez más rápido, incluso una brecha teórica puede transformarse en una amenaza concreta con el tiempo.
and then