La comunidad de ciberseguridad anda revuelta con un concepto nuevo que mete presión a los usuarios de Android: Pixnapping. Este ataque, bautizado con un juego de palabras entre píxel y secuestro, ha demostrado que es capaz de “ver” lo que se pinta en tu pantalla y, a partir de ahí, robar códigos de verificación 2FA y otros datos sensibles sin levantar sospechas ni pedir permisos extraños.
Lo más llamativo es su discreción: una app aparentemente inocente, instalada por el propio usuario, puede aprovechar APIs legítimas de Android y un canal lateral de hardware para reconstruir lo que aparece en la pantalla de otras aplicaciones. En pruebas públicas, los investigadores mostraron que es posible extraer códigos temporales como los de Google Authenticator en menos de 30 segundos, y hacerlo de forma que el usuario no note nada raro.
Qué es Pixnapping y por qué ha encendido todas las alarmas
Pixnapping es una técnica de espionaje de pantalla que combina llamadas a APIs del sistema con señales físicas del dispositivo (un canal lateral de hardware) para inferir qué se está mostrando en tiempo real. Desde un punto de vista práctico, le basta con que la información sea visible en pantalla para poder reconstruirla y filtrarla en silencio.
La diferencia clave con otros fraudes móviles es que la app maliciosa no necesita permisos especiales. No solicita accesibilidad, no lee notificaciones y tampoco requiere capturas de pantalla. Aun así, logra observar patrones de renderizado y “coser” la información que ve. En castellano llano: si tú lo ves, el atacante puede hacer una copia sin que te enteres.
Los investigadores han validado el ataque en modelos recientes: Google Pixel 6, Pixel 7, Pixel 8 y Pixel 9, además de un Samsung Galaxy S25. Y no se quedaron en la teoría: demostraron recuperación de datos de Gmail, cuentas de Google, Signal, Google Authenticator, Venmo y Google Maps, dejando claro que el problema es transversal a múltiples apps y servicios.
Hay un matiz importante: si un secreto nunca se dibuja en pantalla (por ejemplo, una clave almacenada pero no visible), Pixnapping no puede capturarlo. El riesgo se concentra en aquello que se renderiza y el ojo humano ve, como los dígitos de un TOTP, un mensaje con un OTP por SMS o datos sensibles que aparecen en notificaciones o ventanas.
Cómo consigue robar códigos 2FA y otros datos visibles
Cuando abres tu app de autenticación o recibes un código de un solo uso, ese contenido se dibuja en la pantalla. Es ahí donde Pixnapping entra en juego: mediante la observación de patrones de renderizado y señales asociadas al proceso de dibujado, puede reconstruir lo que aparece y extraerlo con suficiente fidelidad como para capturar un código TOTP o la clave enviada por SMS.
Esto explica por qué funciona con códigos generados localmente (TOTP en apps como Google Authenticator) y también con contraseñas de un solo uso que aparecen en mensajes, notificaciones o ventanas emergentes. Si está a la vista, hay superficie de ataque. Aquí la velocidad importa: los investigadores mostraron que, en menos de medio minuto, se puede leer y exfiltrar el código sin interacción adicional del usuario.
No obstante, el alcance tiene límites naturales. Si una app oculta activos críticos y no los renderiza (por ejemplo, secretos TOTP almacenados internamente sin mostrarlos), no hay nada que “espiar” en el lienzo. De ahí la recomendación de reducir al mínimo la exposición visual de claves y evitar que notificaciones con contenido sensible se vean en la pantalla de bloqueo.
En términos técnicos, el uso de APIs legítimas complica la detección por parte del sistema, ya que no se abusa de permisos de alto riesgo. Y el empleo de un canal lateral de hardware le da una ventaja silenciosa: no verás pop-ups de permisos ni alertas especiales, lo que favorece que el ataque pase desapercibido para la víctima.
Modelos afectados, apps impactadas y estado de los parches
En las pruebas publicadas, el equipo de investigación consiguió ataques funcionales en varios teléfonos de Google (Pixel 6, 7, 8 y 9) y en un Samsung Galaxy S25. Aunque las validaciones se limitaron a estos dispositivos, el canal lateral descrito apunta a que la mayoría de Android modernos podrían verse afectados hasta que lleguen mitigaciones de mayor calado.
Para intentar frenar el vector, Google ha distribuido un parche identificado como CVE-2025-48561. Sin embargo, los autores del estudio señalaron que, incluso con esa actualización instalada, Pixnapping siguió funcionando en sus pruebas. Es decir, la primera mitigación reduce parte del riesgo, pero no cierra totalmente la puerta.
La compañía ha indicado que publicará un refuerzo adicional en el boletín de seguridad de Android de diciembre. Hasta que ese segundo parche llegue y se consolide en los fabricantes, la mejor defensa pasa por la prudencia del usuario: mantenerse al día en actualizaciones, activar Play Protect, evitar apps fuera de tiendas oficiales y desconfiar de desarrolladores desconocidos.
Respecto a las aplicaciones, el abanico es amplio: desde mensajería segura como Signal hasta gestores de autenticación como Google Authenticator, pasando por Gmail, Venmo o Google Maps. El nexo común es que muestran información que, por diseño, debe verse. Por eso el foco debe estar en reducir el contenido sensible visible siempre que sea viable.
Mitigaciones prácticas: qué puedes hacer hoy para bajar el riesgo
Mientras llegan soluciones de bajo nivel que bloqueen los canales laterales, hay hábitos que ayudan. Lo primero, si el servicio lo permite, pasa de códigos visibles a métodos resistentes al phishing: llaves de seguridad FIDO o aprobaciones push, en lugar de TOTP que aparece en pantalla durante varios segundos.
Oculta notificaciones sensibles en la pantalla de bloqueo y desactiva vistas previas que muestren códigos o fragmentos de mensajes. Recorta al mínimo el tiempo que un TOTP permanece visible. En paralelo, mantén Android actualizado, prioriza parches de seguridad y deja activado Play Protect. Ante la mínima duda con una app, desinstala y escanea con tu antivirus.
Otras medidas útiles: instala desde tiendas oficiales, revisa la reputación del desarrollador y lee valoraciones recientes. Si una app solicita permisos que no tienen sentido con su propósito, mala señal. Y por supuesto, no compartas códigos que llegan por SMS o mensajería, aunque te lo pida un supuesto técnico o un contacto conocido: nadie legítimo te pedirá ese código.
Para sesiones web, evita redes Wi‑Fi públicas cuando gestiones banca, correo o compras; si no hay alternativa, usa una VPN de confianza. Comprueba el candado de HTTPS, cierra sesión tras tareas sensibles y revisa dispositivos conectados en tus cuentas. Si algo no te suena, revoca el acceso inmediatamente.
QRLJacking y otras estafas con códigos QR: por qué funcionan y cómo esquivarlas
El auge de los QR ha traído comodidad… y nuevas trampas. El QRLJacking se aprovecha de esa confianza para colarte un QR aparentemente legítimo que te redirige a un sitio controlado por el atacante. En algunos servicios, ese QR sirve para iniciar sesión o vincular una sesión, por lo que, sin saberlo, entregas tu sesión al delincuente.
Una variante muy extendida es el QR Code Jacking: el atacante imprime un código falso y lo pega encima del auténtico en parquímetros, estaciones de carga o carteles. La web a la que llegas es una imitación que solicita tus datos o los de tu tarjeta y, ¡zas!, acabas en una pasarela fraudulenta. Ya se han documentado incidentes reales de este tipo en aparcamientos públicos.
También está el quishing, correos con QR que simulan venir de tu banco o de la administración. Te invitan a verificar datos o aprovechar una oferta. Escaneas, llegas a un sitio clonado y te piden credenciales u otra información sensible. Incluso ha habido apps “inocentes” de escaneo en tiendas oficiales que luego resultaron contener comportamientos maliciosos.
Cómo defenderte: verifica la fuente antes de escanear, utiliza un lector que no abra enlaces automáticamente y examina el QR físico por si parece superpuesto o impreso de forma distinta. Ante la duda, escribe la dirección en el navegador en lugar de seguir el QR. En negocios y eventos, conviene auditar los códigos visibles de forma periódica.
Secuestro de sesión en la web: mismo objetivo, distinta ruta
Cuando haces login en una web, el servidor emite un identificador de sesión (normalmente en una cookie) que te mantiene autenticado. Si un atacante consigue ese ID, puede hacerse pasar por ti. Hay varias vías: XSS para robar cookies, sniffing en redes sin cifrar, fijación de sesión o troyanos man-in-the-browser que interceptan y alteran las transacciones.
Aunque a veces se confunden, no es lo mismo secuestro de sesión que suplantación de sesión. En el primero, el atacante toma el control de una sesión ya activa del usuario. En el segundo, crea una nueva sesión haciéndose pasar por el usuario desde cero. En ambos casos, las consecuencias pueden incluir robo de identidad, fraudes y acceso en cadena cuando hay SSO.
Casos reales han mostrado desde intrusiones en videollamadas hasta vulnerabilidades en grandes plataformas que exponían cookies o tokens en URLs. La receta de defensa: desconfía de enlaces no solicitados, evita redes públicas, usa VPN fiables si no hay alternativa, activa MFA en todos tus servicios, configura políticas de caducidad y revisión de sesiones y mantén tu antivirus al día.
‘Secuestro’ de WhatsApp y suplantación de identidad: la estafa del código de 6 dígitos
En WhatsApp se repite un patrón dañino: el atacante inicia el registro de tu número en otro dispositivo, la app envía el código de verificación por SMS al teléfono legítimo y, acto seguido, te contactan suplantando a un familiar, un amigo o hasta un supuesto soporte técnico de la plataforma. Te piden el código “por error” o para “verificar” y, si lo entregas, pierdes el control de la cuenta.
Una vez dentro, pueden activar la verificación en dos pasos para ponértelo más difícil, escribir a tus contactos solicitando dinero por Bizum o propagar enlaces maliciosos. Se han reportado llamadas con prefijos extranjeros en las que se hacen pasar por personal de soporte que “detectó un inicio de sesión no autorizado”, una coartada que suena verosímil pero que busca arrancarte ese código crítico.
Para protegerte: jamás compartas el código de seis dígitos, habilita la verificación en dos pasos en WhatsApp (Ajustes > Cuenta > Verificación en dos pasos) y desconfía de mensajes urgentes que te pidan actuar de inmediato. Si te han robado la cuenta, intenta recuperarla pidiendo un nuevo código y, si lo logras, activa la verificación en dos pasos al momento.
Además, avisa a tus contactos cuanto antes para cortar la cadena de fraudes. Guarda capturas y mensajes como pruebas por si necesitas denunciar. En España, la Línea 017 de INCIBE puede ayudarte en casos de suplantación y robo de cuentas con asesoramiento gratuito.
SIM swapping: cuando tu número queda en manos de otro
El SIM swapping es un clásico que no pasa de moda. Con datos personales conseguidos por ingeniería social (o filtraciones), los delincuentes piden a la operadora un duplicado de tu SIM. De repente te quedas sin cobertura y, al conectarte por Wi‑Fi, empiezas a ver avisos de movimientos sospechosos. El objetivo es interceptar los SMS de verificación y recuperar accesos.
Medidas preventivas: configura bien la seguridad con tu operadora, utiliza MFA que no dependa de SMS (llaves FIDO o apps con protección extra), vigila notificaciones de cambios en tu cuenta y, si te quedas sin cobertura de forma extraña, llama de inmediato al operador. En tus servicios en línea, revisa teléfonos y correos de recuperación para detectar modificaciones no autorizadas.
CAPTCHA falsos que instalan malware: el engaño del “copiar y pegar”
Otra táctica al alza abusa de verificaciones CAPTCHA falsas. Mediante anuncios o redirecciones, acabas en una página que simula un test de seguridad o un error del navegador. Te piden copiar un comando —por ejemplo, de PowerShell— y ejecutarlo. Si picas, descargas un malware silencioso que roba credenciales, cookies y cripto.
Estas campañas han tenido decenas de miles de víctimas en diversos países. La prevención es clara: si un sitio te pide ejecutar comandos, cierra la pestaña; no descargues nada salvo de fuentes de total confianza; mantén un antivirus fiable y utiliza un gestor de contraseñas para minimizar el daño si alguna cuenta queda expuesta. La información y la prudencia reducen el impacto de estas campañas.
Secuestro de DNS: cuando tecleas bien pero acabas en la web del atacante
El DNS hijacking manipula la resolución de nombres de dominio para llevarte a un servidor controlado por el atacante. Tecleas la dirección correcta, pero la respuesta DNS está envenenada y aterrizas en un clon que te pide credenciales o te empuja a descargar software malicioso sin que lo percibas.
Los delincuentes pueden comprometer routers, interceptar consultas DNS o modificar registros en proveedores inseguros. Aunque a veces se usa con fines de censura, el resultado para el usuario es el mismo: si el registro apunta a la IP equivocada, tus datos quedan expuestos. Usa DNS cifrado cuando sea posible y no ignores alertas de certificados inválidos.
Guía rápida de buenas prácticas contra Pixnapping y amenazas afines
Hay pautas comunes que endurecen tu seguridad frente a Pixnapping, QR maliciosos, secuestros de sesión o fraudes en mensajería. Aplícalas como “cinturón y tirantes” para reducir la superficie de ataque y ganar tiempo frente a nuevas variantes. La clave está en actualizar, desconfiar y minimizar exposición.
- Mantén Android y las apps al día; prioriza parches que mitiguen canales laterales y fugas de pantalla, y deja Play Protect activo.
- Instala solo desde tiendas oficiales y valora la reputación del desarrollador; si algo huele raro, desinstala y pasa un análisis antivirus.
- Evita mostrar códigos o datos sensibles; usa llaves FIDO o aprobaciones push en vez de TOTP visibles y oculta notificaciones delicadas en la pantalla de bloqueo.
- Con QR, desconfía por defecto: revisa el código físico, no abras enlaces automáticos y teclea la web si dudas.
- No compartas códigos por SMS o apps; activa 2FA en todo y llama a tu operadora si pierdes cobertura sin motivo (posible SIM swapping).
- Para sesiones web: evita redes públicas, usa VPN si es imprescindible, verifica HTTPS, cierra sesión tras tareas sensibles y revoca dispositivos sospechosos.
- Reporta fraudes y sitios maliciosos a los canales oficiales (por ejemplo, INCIBE/OSI, Policía Nacional o Guardia Civil) para acelerar bloqueos.
Qué hacer si te suplantan o te roban una cuenta
Respira hondo y actúa con método. Primero, documenta todo lo ocurrido con capturas y registros. Cuantas más pruebas, mejor. Después, intenta recuperar el acceso: cambia contraseñas, activa MFA y revisa correos y números de recuperación por si el atacante los ha modificado. En servicios con gestión de sesiones, cierra todas las sesiones activas salvo la que estás usando.
Informa a tus contactos de lo sucedido para cortar posibles intentos de estafa a tu nombre. Denuncia en los canales de cada servicio (redes sociales, correo, mensajería) y, si ha habido daños o riesgo para tu economía o identidad, valora presentar denuncia ante Policía Nacional o Guardia Civil. En España, la línea 017 de INCIBE te ofrece ayuda especializada y gratuita.
Preguntas frecuentes sobre Pixnapping
¿A qué móviles afecta? Aunque las pruebas se realizaron en varios Pixel (6, 7, 8, 9) y en un Galaxy S25, el canal lateral descrito apunta a que la mayoría de Android modernos podrían verse impactados hasta que lleguen mitigaciones más profundas a nivel de sistema y hardware.
¿Sirve el parche actual? Google lanzó CVE-2025-48561 para mitigar el vector, pero las pruebas públicas indican que el ataque seguía siendo viable. Se ha anunciado una contramedida adicional en el boletín de Android de diciembre; mantener el dispositivo actualizado reduce el riesgo, sin eliminarlo por completo de momento.
¿Puede robar secretos no visibles? No. Si la información nunca se renderiza en pantalla, Pixnapping no puede capturarla. Reducir la exposición de los TOTP y acortar el tiempo en pantalla ayuda a bajar la probabilidad de robo.
¿Qué apps están en el punto de mira? Cualquier app que muestre información sensible. En las pruebas: Gmail, cuentas de Google, Signal, Google Authenticator, Venmo y Google Maps. El vector es transversal y afecta a distintos tipos de aplicaciones.
La fotografía general es clara: los atacantes van a por lo que vemos y por lo que aprobamos sin pensar. Endurecer la autenticación con llaves FIDO o push, recortar la visibilidad de datos sensibles y cuidar lo que escaneamos o instalamos marca la diferencia. Hasta que los parches de bajo nivel maduren y se integren en todos los fabricantes, combinar actualizaciones rápidas con buenos hábitos de higiene digital es la forma más efectiva de mantener a raya riesgos como Pixnapping y compañía.
