Una nueva amenaza pone en riesgo la seguridad de cuentas de todo tipo, incluso si utilizas autenticación en dos pasos. Se trata de un nuevo ataque denominado Pixnapping y afecta a Android, el sistema operativo más utilizado en dispositivos móviles. Te contamos cómo funciona y qué hacer para protegerte.

Un ataque que roba información en segundos

Pixnapping es una amenaza de canal lateral que puede extraer información confidencial de aplicaciones legítimas y páginas web sin permisos especiales. Según los investigadores, es capaz de capturar píxeles en pantalla y reconstruirlos para robar mensajes, correos electrónicos o códigos 2FA de herramientas como Google Authenticator.

El ataque ha sido probado por investigadores de la Universidad de California, la Universidad de Washington y la Universidad Carnegie Mellon, demostrando que puede ejecutarse en menos de 30 segundos incluso en dispositivos actualizados. Afecta a modelos recientes como los Google Pixel 6, 7, 8 y 9 o el Samsung Galaxy S25.

Cómo se ejecuta el ataque

Todo comienza con una aplicación falsa y maliciosa para Android que aprovecha un fallo en el sistema conocido como SurfaceFlinger. Esto le permite mapear los píxeles de otras apps y realizar operaciones gráficas para extraer información visual, como si realizara una captura de pantalla invisible.

La tasa de filtración oscila entre 0,6 y 2,1 píxeles por segundo, lo suficiente para reconstruir un código de verificación de dos pasos en menos de medio minuto. Este fallo ha sido registrado como CVE-2025-48561. Aunque Google intentó corregirlo en la actualización de septiembre, el problema persiste y se espera una solución definitiva antes de final de año.

Cómo protegerte de Pixnapping

Para protegerte, lo más importante es no instalar aplicaciones fuera de Google Play o de fuentes desconocidas. Muchas de las apps maliciosas que aprovechan vulnerabilidades como esta se hacen pasar por herramientas legítimas o juegos gratuitos.

También es esencial mantener el sistema y las apps actualizados. Google y Samsung han confirmado que lanzarán parches de seguridad adicionales en los próximos meses. Evitar instalar APKs manualmente y activar la verificación de Google Play Protect puede marcar la diferencia.

En resumen, mantén tus dispositivos actualizados, instala únicamente software de confianza y revisa los permisos de tus aplicaciones. La mejor defensa sigue siendo la prevención.