Un equipo de investigación de seguridad vinculado a Ledger, conocido como Donjon, ha demostrado que ciertos teléfonos Android con chips MediaTek pueden ser comprometidos físicamente en cuestión de segundos. Con solo conectar el móvil por USB a un equipo, los investigadores lograron recuperar el PIN del dispositivo, descifrar el almacenamiento y extraer frases semilla de billeteras como Trust Wallet, Kraken Wallet y Phantom, todo en aproximadamente 45 segundos, antes de que el sistema operativo terminara de cargar.
El problema radica en componentes de seguridad integrados en el procesador, concretamente en la implementación de Trustonic TEE en algunos chipsets de MediaTek. Según los informes, estas combinaciones de hardware y firmware están presentes en alrededor de un cuarto de los móviles Android, sobre todo en modelos de gama baja o económica. Como ejemplo concreto, el equipo de Donjon comprobó el exploit en un Nothing CMF Phone 1, pero la lista de fabricantes potencialmente afectados incluye marcas como Samsung, Xiaomi y OPPO, entre otras.
Cómo funciona la vulnerabilidad
La explotación se aprovecha del proceso criptográfico que se ejecuta al arrancar el dispositivo, conocido como la cadena de arranque segura. Durante esa secuencia el hardware valida y desbloquea claves raíz; sin embargo, Donjon descubrió una debilidad que permite a un atacante, con acceso físico, conectarse por USB y extraer las claves criptográficas raíz antes de que el sistema operativo se inicie por completo.
Con esas claves es posible automatizar un ataque de fuerza bruta sobre el PIN, descifrar el almacenamiento y recuperar datos sensibles como mensajes, credenciales y, crucialmente, frases semilla de billeteras de software.
Aspectos técnicos clave
En el núcleo del problema están conceptos como flash encryption y el rol del TEE (entorno de ejecución confiable). El TEE debería aislar secretos; sin embargo, la combinación específica de firmware en algunos MediaTek permitió extraer secretos raíz del dispositivo.
Los investigadores contrastaron esta arquitectura con los Secure Element, que son chips dedicados destinados a proteger claves incluso ante ataques físicos. La demostración de Donjon subraya la diferencia entre chips generales —optimizados para conveniencia— y soluciones diseñadas para la protección de claves sensibles.
Qué medidas se han tomado y qué puedes hacer
Tras la notificación responsable, MediaTek distribuyó un parche de firmware a sus fabricantes en enero, aunque la compañía no hizo público el detalle hasta marzo. El equipo Donjon respetó una política de divulgación de 90 días antes de publicar su investigación. Los fabricantes como Samsung y otros deberían incluir la corrección en próximas actualizaciones de seguridad; por eso la única medida práctica para la mayoría de usuarios es mantener el teléfono actualizado con los últimos parches oficiales y revisar las notas de seguridad del fabricante.
Recomendaciones prácticas
Además de instalar actualizaciones, se recomienda evitar conectar el teléfono por USB a equipos desconocidos, habilitar opciones de seguridad avanzadas cuando estén disponibles y considerar el uso de un hardware wallet para almacenar claves privadas en activos digitales. Puedes verificar si tu modelo usa un chipset afectado en sitios como GSMArena o Kimovil; si tu dispositivo aparece en la lista, prioriza la recepción del parche del fabricante y, si manejas grandes cantidades de criptomonedas, traslada las claves a un dispositivo diseñado específicamente para proteger secretos.
Contexto del riesgo y conclusiones
Este hallazgo llega en un momento de aumento de ataques relacionados con infraestructuras de claves: datos de TRM Labs indican que, en la primera mitad de 2026, más del 80% de los 2.1 mil millones de dólares robados se debieron a ataques que incluyen robo de claves privadas y frases semilla. Chainalysis informó que en 2026 las pérdidas por criptoactivo superaron los 3.41 mil millones de dólares y que el porcentaje de robos dirigidos a billeteras individuales creció notablemente. Además, informes de seguridad como el de Zscaler muestran un aumento del 67% en malware que apunta a Android en 2026. Esta tendencia confirma que las vulnerabilidades de hardware son un vector cada vez más atractivo para los atacantes, y refuerza la idea de que un teléfono móvil no debe ser considerado una bóveda por defecto: mantener parches al día y usar soluciones dedicadas para proteger claves sigue siendo esencial.
