En un desarrollo alarmante para los usuarios de Android, investigadores han presentado un método de ataque sofisticado que podría comprometer la seguridad de los códigos de autenticación de dos factores (2FA). Esta técnica, conocida como Pixnapping, combina características existentes de Android, renderización y vulnerabilidades de hardware para extraer de manera sigilosa información sensible de los dispositivos de los usuarios.
Los hallazgos detallados, publicados en un artículo titulado Pixnapping: Sacando el robo de píxeles de la Edad de Piedra, resaltan la naturaleza innovadora pero preocupante de este ataque. Desarrollada por un equipo colaborativo de instituciones reconocidas, como la Universidad de California, Berkeley, y Carnegie Mellon, la técnica de Pixnapping plantea serias inquietudes sobre la seguridad de la información personal en los teléfonos inteligentes Android.
Comprendiendo el ataque de Pixnapping
La fase inicial de un ataque conocido como Pixnapping comienza de forma aparentemente inofensiva, cuando una víctima instala sin darse cuenta una aplicación maliciosa en su smartphone Android. A diferencia de muchos ataques tradicionales, esta técnica no requiere permisos extensos; en cambio, explota de manera astuta las interfaces de programación de aplicaciones (APIs) y las capacidades de renderizado que ya existen en Android.
Desglose paso a paso del ataque
El proceso de Pixnapping se desarrolla en tres fases distintas. En el primer paso, la aplicación maliciosa induce a una aplicación legítima—como Google Authenticator—para que ejecute una llamada al sistema que dirige datos sensibles hacia el canal de renderizado de Android. Esta manipulación inicial prepara el terreno para una explotación más profunda.
A medida que avanza el ataque, la aplicación maliciosa inicia operaciones gráficas al superponer una capa semitransparente sobre los píxeles sensibles que muestra la aplicación objetivo. Esta técnica de desenfoque oculta eficazmente los datos, permitiendo al atacante concentrarse en información específica de los píxeles, como los dígitos de un código 2FA.
En la fase final, el atacante utiliza un canal lateral conocido como GPU.Zip para capturar secuencialmente estos píxeles ocultos, reconstruyendo así una representación visual del contenido sensible. Este método permite a la aplicación maliciosa crear una ‘captura de pantalla’ encubierta de información que debería permanecer privada, lo que representa un riesgo significativo para los usuarios.
Implicaciones en el mundo real y pruebas
Las implicaciones de este ataque son profundas, sobre todo en lo que respecta a la seguridad de las comunicaciones privadas y la información financiera. Investigadores realizaron experimentos que permitieron extraer con éxito 100 códigos 2FA en un breve lapso de 30 segundos, utilizando diversos dispositivos Google Pixel. Sin embargo, la tasa de éxito varió; algunos dispositivos, como el Samsung Galaxy S25, presentaron dificultades debido al exceso de ruido de fondo.
En sus hallazgos, el equipo de investigación expresó: “Hemos demostrado ataques de Pixnapping en múltiples dispositivos, recuperando con éxito datos sensibles de diversas aplicaciones como Gmail, Signal y Google Maps.” Su trabajo ha evidenciado que este ataque puede vulnerar las defensas de aplicaciones populares, revelando serias debilidades en el panorama de la seguridad.
Vulnerabilidad de los dispositivos y medidas de mitigación
Se realizaron pruebas en varios dispositivos Android, incluyendo desde el Google Pixel 6 hasta el Pixel 9, así como en el Samsung Galaxy S25. Los investigadores advierten que los mecanismos subyacentes que facilitan el ataque conocido como Pixnapping probablemente están presentes en la mayoría de los dispositivos Android, lo que sugiere una vulnerabilidad generalizada.
Identificada como CVE-2025-48561, esta falla de seguridad ya ha llevado a la publicación de un parche destinado a mitigar la amenaza. Este parche limita el número de actividades que una aplicación puede invocar al aplicar efectos de desenfoque, abordando el método principal del ataque. Sin embargo, los investigadores también han comunicado a Google una solución alternativa, indicando que pueden ser necesarias medidas adicionales para proteger completamente a los usuarios.
Perspectivas futuras
Actualmente, no hay evidencia que sugiera que esta vulnerabilidad esté siendo explotada activamente. Sin embargo, Google ha asegurado a los usuarios que están monitoreando la situación de cerca. Se espera que el próximo boletín de seguridad de Android, programado para diciembre, proporcione parches adicionales para reforzar la defensa contra este tipo de ataques.
A medida que las amenazas a la seguridad móvil evolucionan, es fundamental que los usuarios se mantengan alertas y proactivos en la protección de sus dispositivos. Las actualizaciones regulares y la conciencia de posibles vulnerabilidades son pasos esenciales para salvaguardar la información sensible frente a nuevas amenazas como el Pixnapping.
