La seguridad en los dispositivos móviles ha vuelto a quedar en entredicho. Un grupo de investigadores de varias universidades estadounidenses ha revelado la existencia de un nuevo tipo de ataque informático capaz de vulnerar los mecanismos de autenticación multifactor (MFA) de teléfonos Android en cuestión de segundos. El hallazgo, bautizado como “Pixnapping”, afecta directamente a algunos de los modelos más recientes y potentes del mercado, incluidos los Google Pixel 9 y los Samsung Galaxy S25, y podría extenderse a toda la plataforma Android si no se aplica una corrección a tiempo.
El equipo de expertos, perteneciente a instituciones como la Universidad de Illinois, la Universidad de California en Riverside y el Georgia Institute of Technology, presentó sus hallazgos en un informe técnico y un vídeo demostrativo publicados en su página oficial. En él muestran cómo, utilizando esta técnica, es posible extraer los códigos de verificación temporales de aplicaciones como Google Authenticator, vulnerando así una de las capas de seguridad más importantes de Android.
-El ataque en acción, ¿cómo Pixnapping roba los códigos de autenticación?
El vídeo de demostración difundido por los investigadores muestra un escenario que parece salido de un laboratorio, pero que podría tener implicaciones reales en el mundo cotidiano. En apenas 30 segundos, el ataque consigue interceptar un código de verificación de seis dígitos generado por Google Authenticator una app que renueva sus claves cada medio minuto, antes de que este expire.
El proceso se apoya en una vulnerabilidad que permite a Pixnapping acceder a la información mostrada en pantalla y enviarla a un servidor externo sin intervención del usuario. Los registros capturados en Logcat el sistema interno de depuración de Android— evidencian cómo el ataque extrae los códigos en tiempo real desde un Google Pixel 9, aunque los investigadores aseguran que el mismo mecanismo puede replicarse en otros dispositivos.
En palabras del equipo de investigación, “la demostración fue diseñada para ilustrar la velocidad y precisión con la que Pixnapping puede capturar información sensible, incluso en dispositivos completamente actualizados y con todas las protecciones de seguridad activadas”. Este detalle es lo que más preocupa: no se trata de un ataque que requiera engañar al usuario, sino de una explotación directa del propio sistema.
-Un problema que va más allá de los Pixel y Galaxy
Aunque el estudio se centró en dispositivos específicos los Google Pixel 6, 7, 8 y 9, y los Samsung Galaxy S25, los investigadores advierten que el riesgo podría ser mucho más amplio. Pixnapping aprovecha vulnerabilidades en las versiones de Android comprendidas entre la 13 y la 16, lo que significa que cualquier teléfono que ejecute estas ediciones podría ser potencialmente vulnerable, sin importar su marca o fabricante. Los expertos explican que la arquitectura de permisos en Android, aunque robusta, no siempre impide que aplicaciones con acceso legítimo a determinados recursos visuales (como la superposición de pantalla o la captura de GPU) puedan filtrar información sensible si son comprometidas.
Esto abre la puerta a que dispositivos de otras marcas Xiaomi, OnePlus, Motorola o incluso fabricantes menos conocidos puedan ser explotados mediante técnicas similares. Pixnapping, además, no se limita a Google Authenticator. Los investigadores comprobaron que el ataque también puede exfiltrar datos de aplicaciones sensibles como Signal, Venmo, Google Maps o cualquier otra que muestre contenido dinámico en pantalla. La versatilidad del método lo convierte en una amenaza de gran alcance dentro del ecosistema Android.
-Un antecedente inquietante: el regreso del problema “GPU.zip”
Lo más llamativo de Pixnapping es que no surge de la nada. Los mismos investigadores habían descubierto a principios de 2024 una vulnerabilidad bautizada como GPU.zip, que permitía reconstruir datos visuales comprimidos por la tarjeta gráfica de un dispositivo. Esa técnica afectó no solo a móviles Android, sino también a chips gráficos de Apple, Qualcomm, Intel y AMD. Pixnapping toma como base el mismo principio: aprovechar los procesos de renderizado de la GPU para acceder a fragmentos de información confidencial.
En este caso, los atacantes no buscan reconstruir imágenes completas, sino interceptar códigos numéricos y tokens temporales, lo que eleva el riesgo al terreno de la autenticación y la privacidad. El avance demuestra que las vulnerabilidades en el procesamiento gráfico pueden tener consecuencias mucho más profundas de lo que se creía, especialmente cuando se combinan con el almacenamiento temporal de datos sensibles en la memoria del dispositivo.
-Google bajo presión: un parche que llegará tarde
A pesar de la gravedad del hallazgo, Google aún no ha desplegado un parche oficial para corregir esta vulnerabilidad, catalogada técnicamente bajo el identificador CVE-2025-48561. El gigante de Mountain View reconoció el problema en abril y lo calificó como una amenaza de “alta severidad”, pero las correcciones no llegarán hasta diciembre de 2025, según el calendario de actualizaciones de seguridad publicado por la propia compañía.
Esto significa que millones de usuarios permanecerán expuestos durante meses, mientras los fabricantes y operadores esperan la actualización correspondiente. Hasta entonces, los investigadores recomiendan extremar las precauciones, evitar instalar aplicaciones desconocidas y desactivar los permisos innecesarios de accesibilidad o superposición, que suelen ser la puerta de entrada para este tipo de ataques.
En su informe, los autores señalan que el retraso en el parche se debe a la complejidad del problema, ya que implica cambios profundos en la forma en que Android maneja la memoria gráfica y los permisos del sistema. No obstante, insisten en que el riesgo es real y que Pixnapping ya ha sido reproducido con éxito en múltiples entornos de prueba.
-La amenaza invisible: cómo los ataques visuales desafían la seguridad móvil
Lo que distingue a Pixnapping de otros ataques es su sutileza. No depende de enlaces maliciosos, descargas falsas o ingeniería social. Opera de forma silenciosa, invisible para el usuario y prácticamente indetectable para las herramientas de seguridad convencionales. Este tipo de ataque inaugura una nueva categoría en la ciberseguridad móvil: los ataques de exfiltración visual, capaces de obtener datos sensibles directamente de los procesos gráficos del sistema.
A medida que Android se vuelve más integrado con la inteligencia artificial y las funciones visuales avanzadas, los investigadores advierten que el vector de ataque podría volverse aún más poderoso. El impacto potencial es enorme: desde la suplantación de identidad en cuentas bancarias o redes sociales, hasta la manipulación de tokens de autenticación corporativos utilizados en entornos empresariales. En palabras de uno de los investigadores principales, “Pixnapping no es solo una vulnerabilidad, sino una advertencia sobre cómo la confianza ciega en los sistemas de seguridad visual puede volverse en nuestra contra”.
-Un desafío para Android y una lección para todos
La aparición de Pixnapping pone a prueba la capacidad de Google para reaccionar con rapidez frente a un problema estructural en su plataforma. Mientras la compañía prepara su actualización, los expertos coinciden en que este caso revela la necesidad urgente de rediseñar la arquitectura de permisos de Android, especialmente en lo que respecta al acceso a gráficos, memoria y pantallas activas. En paralelo, el hallazgo resalta la fragilidad del ecosistema móvil frente a vulnerabilidades que no dependen de errores humanos, sino de procesos internos del propio sistema operativo.
Si algo ha dejado claro este ataque es que la seguridad en los smartphones modernos ya no depende solo de las contraseñas o los firewalls, sino de una combinación de hardware, software y gestión inteligente de datos. Por ahora, Pixnapping permanece como una advertencia, pero también como una señal del futuro que se avecina: un escenario en el que la línea entre rendimiento gráfico y privacidad podría volverse peligrosamente delgada.