Descubren un nuevo vector de ataque llamado Pixnapping, el cual está poniendo en jaque la seguridad de millones de dispositivos Android. Recientemente investigadores de ciberseguridad han demostrado que esta técnica puede robar códigos de autenticación de dos factores (2FA) y hasta mensajes privados en menos de 30 segundos, sin que la victima otorgue permisos ni note actividad sospechosa en su dispositivo.
Esta nueva amenaza aprovecha una combinación entre funciones del sistema operativo y un canal lateral de hardware de la GPU, permitiendo que una App maliciosa capture la información visual de otras aplicaciones. Pero lo más alarmante es: los ataques funcionan incluso con las protecciones de Android 16 y los teléfonos más recientes de Google y Samsung.
Pixnapping: cómo un ataque invisible compromete Android
Pixnapping toma su nombre del término “pixel-snapping”, y se basa en una técnica de hace más de una década utilizada originalmente en navegadores web. Los investigadores lograron adaptarla a los entornos modernos de Android para robar píxeles y reconstruir la información mostrada en pantalla, incluyendo datos tan sensibles como códigos 2FA, contraseñas o mensajes financieros.
Pixnapping puede capturar códigos 2FA en menos de 30 segundos antes de que expiren, explican los investigadores responsables del hallazgo.
El ataque fue aprobado con éxito en dispositivos Google Pixel 6/9 y Samsung Galaxy S25, ejecutando versiones de Android 13 y 16. Cabe mencionar que este nuevo método no requiere permisos del sistema, lo que hace casi imposible que el usuario detecte su actividad en tiempo real.
Un ataque en tres fases que aprovecha la GPU
El mecanismo de Pixnapping cuenta de tres etapas que están bien sincronizadas. Primero, la aplicación maliciosa fuerza la apertura de otra app, como Google Authenticator, provocando que se muestren los códigos o datos que quiere interceptar. Luego, analiza los tiempos de procesamiento de los píxeles individuales, que varían según el color, finalmente esas mediciones permiten reconstruir visualmente el contenido original de la pantalla.
Este enfoque se basa en una vulnerabilidad conocida como canal lateral de GPU (GPU.zip), que expone información sobre cómo una unidad grafica procesa los datos. Cabe mencionar que este mal se descubrió en los navegadores hace más de una década, pero su adaptación a Android demuestra una evolución preocupante de las técnicas de espionaje digital.
Los investigadores han comprobado que Pixnapping tiene la capacidad de extraer mensajes privados, contraseñas e información bancaria, no solo de códigos de autenticación, convirtiéndose en una amenaza más versátil nunca antes vista en el ecosistema móvil reciente.
Respuesta de Google: parches incompletos y soluciones pendientes
Como era de esperar, el equipo de investigación notificó el fallo a Google en febrero, que lo catalogó como una vulnerabilidad de alta gravedad bajo el identificador CVE-2025-48561. Y aunque se intentó mitigar el problema mediante restricciones API, los mismos investigadores encontraron la forma de evadir dichas restricciones.
A fecha de octubre de 2025, esta vulnerabilidad en Android sigue presente. Por lo tanto, corregirla completamente exige examinar minuciosamente el sistema operativo y sus mecanismos internos, especialmente aquellos que permiten que las aplicaciones dibujen o accedan directamente al contenido de otras.
Google planea solucionar este problema de raíz con el parche de seguridad de diciembre, pero no está claro cómo lo harán.
La magnitud de la vulnerabilidad refleja un fallo estructural en cómo Android gestiona los procesos gráficos. En este contexto, expertos recomiendan mantener las actualizaciones de seguridad activas y evitar instalar aplicaciones fuera de fuentes verificadas, mientras Google trabaja en un rediseño profundo de los componentes afectados.
