Una nueva técnica bautizada como Pixnapping pone contra las cuerdas a Android: permite que una aplicación maliciosa, sin pedir permisos especiales, deduzca lo que aparece en la pantalla de otras apps. El objetivo más jugoso son los códigos de autenticación en dos pasos, pero también entran en el saco mensajes, correos o mapas.
Detrás del hallazgo hay un equipo académico que ha demostrado que el ataque funciona en modelos recientes de Google y Samsung y que puede completarse en menos de medio minuto. Google ya ha publicado una mitigación parcial (CVE-2025-48561), aunque los investigadores aseguran que es posible sortearla y que se prepara un segundo parche para reforzar la defensa.
Qué es Pixnapping y cómo funciona
Pixnapping combina APIs legítimas de Android con un canal lateral de hardware para reconstruir información mostrada en pantalla sin necesidad de capturas. La app atacante superpone actividades semi transparentes que ocultan todo salvo un píxel elegido y, mediante llamadas de sistema, calcula el color de ese punto para ir revelando el contenido.
El proceso se repite miles de veces sincronizando la renderización de fotogramas. Al manipular ese píxel para que su color domine el frame y al medir tiempos de dibujo (en la línea de técnicas tipo GPU.zip), el malware deduce si hay dígitos, letras o espacios y termina reconstruyendo textos y números que el usuario ve en la pantalla.
Qué datos puede robar y sus límites
En pruebas con Google Authenticator, los autores recuperaron códigos completos de 6 dígitos dentro de la ventana de 30 segundos: tasas de acierto del 73%, 53%, 29% y 53% en Pixel 6, 7, 8 y 9, con tiempos medios de 14,3 s; 25,8 s; 24,9 s; 25,3 s respectivamente. El ataque también sirve para extraer información visible en Gmail, Signal, Venmo o Google Maps.
Hay un límite importante: no puede robar secretos que no se dibujan en pantalla. Si un dato sensible permanece oculto (por ejemplo, una clave almacenada que nunca se muestra), Pixnapping no tiene forma de capturarlo. Por el contrario, elementos que el usuario mantiene visibles —como frases de recuperación de billeteras cripto— quedan expuestos si se muestran durante suficiente tiempo.
Dispositivos afectados y alcance
Los experimentos abarcan Android 13 a 16 en Pixel 6, 7, 8 y 9, y un Samsung Galaxy S25. En los Galaxy, el “ruido” gráfico reduce la eficacia, pero los investigadores señalan que con ajustes puede lograrse un rendimiento similar, ya que las APIs implicadas están ampliamente disponibles en el ecosistema.
El equipo remarca que Pixnapping esquiva mitigaciones pensadas para el navegador y que también puede extraer secretos de apps nativas. Esto amplía la superficie de riesgo más allá de la web y afecta a cualquier aplicación que muestre datos sensibles en la pantalla.
Respuesta de Google y estado del parcheo
Google intentó atajar el problema limitando cuántas actividades puede difuminar una app de forma simultánea, pero el grupo halló un método para saltarse esa barrera. La compañía clasificó el fallo como de alta gravedad, lo recompensó en su programa de bugs y mantiene coordinación con los fabricantes para desplegar correcciones.
Tras la mitigación parcial CVE-2025-48561, se espera un refuerzo adicional en el boletín de seguridad de Android de diciembre. Aunque el riesgo es real, hasta la fecha no hay evidencias públicas de explotación activa a gran escala, y el objetivo es cerrar los vectores restantes con cambios más profundos del sistema.
Cómo protegerte mientras llega el arreglo
Mientras se estabilizan las correcciones, conviene reducir la exposición con medidas prácticas que dificulten el ataque y limiten el impacto si ocurre un compromiso. Estas recomendaciones priorizan lo que se muestra en pantalla y el origen de las apps.
- Actualiza el móvil y las apps en cuanto haya parches; prioriza los que tratan canales laterales o fugas de pantalla.
- Instala únicamente desde Google Play y desconfía de desarrolladores desconocidos; elimina apps sospechosas para proteger el móvil de Flipper Zero.
- Evita mantener visibles códigos TOTP y frases de recuperación; si es posible, no las muestres en dispositivos conectados.
- Usa FIDO2/WebAuthn o llaves de seguridad físicas en vez de códigos 2FA mostrados como dígitos.
- Protege el autenticador con PIN o biometría y oculta el contenido sensible en la pantalla de bloqueo.
- Para custodiar claves de criptomonedas, valora una billetera de hardware que firme sin exponer la frase.
Preguntas rápidas
¿Necesita permisos especiales? No. Una app maliciosa puede operar sin permisos de accesibilidad, captura de pantalla ni root; ahí reside parte del peligro.
¿En qué móviles funciona? Se ha comprobado en Pixel 6–9 y Galaxy S25, pero el enfoque podría extenderse a otros Android modernos por el uso de APIs comunes.
¿Puede capturar lo que no se ve? No. Solo lo que se renderiza en pantalla es susceptible; secretos nunca dibujados quedan fuera del alcance del ataque.
¿Se puede detectar? Es difícil, porque el método no lanza alertas visibles. Mantener el sistema al día y revisar apps instaladas reduce el riesgo.
Pixnapping demuestra que lo visible también es vulnerable en Android: una combinación de APIs y señales de renderizado basta para reconstruir datos sensibles si se muestran en pantalla. Con parches en camino y mitigaciones parciales ya activas, la mejor defensa ahora mismo pasa por limitar la exposición de información crítica, usar métodos de autenticación resistentes y extremar el cuidado con las aplicaciones que instalamos.
