Alerta para usuarios Samsung y Google Pixel: un fallo crítico en Android expone datos personales
Un fallo de seguridad en Android afecta a modelos Samsung y Google Pixel, permitiendo el robo de datos sensibles en segundos mediante un ataque bautizado como “Pixnapping”.
El ataque 'Pixnapping' afecta a dispositivos Samsung y Google Pixel, explotando una falla en Android.
shutterstockSi tenés un dispositivo Samsung o un Google Pixel, atención: investigadores descubrieron una vulnerabilidad grave en Android que permite robar información privada en menos de medio minuto. El ataque, conocido como ‘Pixnapping ’, podría exponer contraseñas, correos y códigos de verificación sin que el usuario lo note.
El hallazgo, publicado por un grupo académico, demuestra cómo una simple app maliciosa puede ‘leer’ los píxeles que otras aplicaciones muestran en pantalla y reconstruir datos sensibles. Aunque el fallo ya está siendo parcheado, el riesgo encendió alarmas en la comunidad de ciberseguridad.
Pixnapping: el ataque que roba píxeles y privacidad
A diferencia de otros exploits, Pixnapping no requiere permisos especiales ni acceso root. Basta con que la víctima instale una aplicación aparentemente inofensiva. A partir de ese momento, el software puede interpretar los píxeles mostrados en el dispositivo y extraer información privada como contraseñas, mensajes o códigos temporales de autenticación.
Te podría interesar
El ataque recuerda al método GPU.zip, detectado en 2023, que explotaba la forma en que las GPU procesan imágenes comprimidas para inferir credenciales. En este caso, el ataque se enfoca en Android, midiendo los tiempos de renderizado de cada píxel para deducir colores y reconstruir textos o números en pantalla.
¿Te imaginás que una app pueda leer tus códigos de seguridad sin permiso? Eso es, precisamente, lo que demuestra Pixnapping.
Probado en Google Pixel y Samsung Galaxy S25
El equipo de investigadores probó Pixnapping en varios modelos de Google Pixel (6, 7, 8 y 9) y en el Samsung Galaxy S25. En los dispositivos de Google, el ataque logró reconstruir códigos de seis dígitos de Google Authenticator en apenas 14 a 25 segundos, con una precisión de hasta el 73 % según el modelo.
En el caso del Galaxy S25, el resultado fue menos eficaz debido al ‘ruido gráfico’ que añade Samsung, aunque los especialistas creen que el ataque podría perfeccionarse para lograr resultados similares.
Para cumplir con el límite de 30 segundos de validez de los códigos 2FA, los investigadores optimizaron los tiempos de muestreo y renderizado, logrando extraer un código válido antes de que caducara, tal como detalló Ars Technica.
Google ya prepara un parche de seguridad para Android
Desde Google, confirmaron que ya trabajan en una solución. En su boletín de seguridad de septiembre, la compañía lanzó un primer parche parcial (CVE-2025-48561) y planea una segunda actualización para diciembre que resolverá por completo la vulnerabilidad.
Aunque el gigante tecnológico reconoce la gravedad del fallo, aclara que no hay evidencia de que Pixnapping se esté utilizando activamente fuera de entornos de prueba. Sin embargo, este incidente vuelve a poner bajo la lupa la arquitectura de Android y la forma en que las apps comparten recursos gráficos.
Los expertos recomiendan mantener el sistema actualizado, descargar aplicaciones solo desde Google Play y revisar los permisos de accesibilidad o superposición de pantalla. Además, sugieren usar apps de autenticación con bloqueo biométrico o PIN para agregar una capa extra de protección.
FUENTE: Información extraída de Aandro4all