Alerta para usuarios de Samsung y Pixel: un fallo en Android permite robar datos sensibles en menos de 30 segundos

Si tienes un móvil Samsung o un Google Pixel, atento: un grupo de investigadores ha descubierto un fallo grave en Android que permite robar datos personales en menos de medio minuto, incluyendo códigos de autenticación en dos fases, correos electrónicos y mensajes privados. El ataque se llama "Pixnapping", y aunque suena a título de película de hackers, por desgracia es completamente real.

El ataque Pixnapping roba píxeles... y privacidad

A diferencia de otros ataques, Pixnapping no necesita permisos especiales ni explota accesos root o vulnerabilidades del kernel: solo requiere que la víctima instale una aplicación maliciosa aparentemente inofensiva. Desde ese momento, el software puede "leer" los píxeles que otras apps muestran en el móvil y, con eso, reconstruir información sensible como contraseñas, mensajes, direcciones o códigos temporales de verificación. Es decir, el atacante puede espiar lo que aparece en pantalla.

"Es como si una aplicación maliciosa hiciera capturas de pantalla invisibles de contenido al que no debería tener acceso", dice en una entrevista Alan Linghao Wang, autor principal del artículo de investigación Pixnapping: Bringing Pixel Stealing out of the Stone Age.

El mecanismo recuerda a GPU.zip, un ataque de 2023 que aprovechaba la forma en que las GPU renderizan imágenes comprimidas para inferir contraseñas o nombres de usuario. En este caso, Pixnapping va por el mismo camino, pero aplicado al mundo Android: mide cuánto tarda cada píxel en dibujarse para deducir si es blanco, negro o de otro color. Con esa información, combinada con un análisis matemático, consigue reconstruir los textos o los números que aparecen en pantalla sin hacer una captura de pantalla directa.

Probado en los Pixel y en el Galaxy S25

El equipo probó Pixnapping en varios modelos de Google Pixel (6, 7, 8 y 9) y en un Samsung Galaxy S25. En los teléfonos de Google, el sistema logró reconstruir códigos de seis dígitos de Google Authenticator en 14-25 segundos, con un nivel de acierto de hasta el 73 % dependiendo del modelo. En el caso del Galaxy S25, el ataque no fue tan efectivo por el "ruido gráfico" añadido por Samsung, pero creen que con algunos ajustes podría funcionar igual de bien.

Para cumplir con el límite de 30 segundos que tienen los códigos de autenticación en dos factores (2FA) antes de caducar, los investigadores redujeron el número de muestras por píxel y ajustaron los tiempos de renderizado, de modo que el proceso se aceleró sin perder precisión. Según informa Ars Technica, esas optimizaciones les permitieron extraer un código válido antes de que expirara, algo que hasta ahora parecía imposible sin acceso root.

Google ya prepara un parche de seguridad

Desde Google, han confirmado que el problema está en vías de solucionarse. En su boletín de seguridad de septiembre, el gigante tecnológico publicó un primer parche parcial (CVE-2025-48561), y se espera que en diciembre llegue una segunda actualización para mitigar completamente el fallo. Por el momento, aunque reconocen que la vulnerabilidad es preocupante, la compañía asegura que no hay evidencias de que el ataque Pixnapping se esté usando en el mundo real.

Aun así, el hallazgo de este grupo de investigadores deja claro que Android sigue teniendo puntos ciegos en su arquitectura, sobre todo en la forma en que las aplicaciones comparten recursos gráficos. Y aunque el ataque no sea fácil de replicar fuera del laboratorio, pues requiere una instalación previa por parte del usuario, demuestra que las barreras entre apps son más frágiles de lo que pensamos.

Mientras Google lanza el parche definitivo, los expertos en seguridad recomiendan mantener el sistema operativo del teléfono actualizado, instalar solo apps desde Google Play y revisar los permisos de accesibilidad o superposición de pantalla. Por otro lado, también es buena idea usar aplicaciones de autenticación con protección adicional, como bloqueo por PIN o biometría.