Triple amenaza desde las profundidades de Qualcomm. Android está a punto de ser hackeado. ¿Ya actualizaste?

Google lanzó una serie de actualizaciones de seguridad urgentes para Android, en las que se corrigieron varias vulnerabilidades críticas, incluidas dos fallas en componentes de Qualcomm que se consideran activamente explotadas. En esta ocasión, la atención de los expertos se centró en CVE-2025-21479 (con una puntuación de 8.6 en la escala CVSS) y CVE-2025-27038 (7.5 puntos), de las cuales Qualcomm ya había informado en junio de 2025. Además, también se reveló la CVE-2025-21480 con un riesgo igualmente alto.

Uno de los fallos más peligrosos —CVE-2025-21479— está relacionado con una autorización incorrecta en el módulo gráfico. Esta vulnerabilidad permite a un atacante provocar corrupción de memoria al enviar comandos no autorizados para su ejecución en el microcódigo del procesador gráfico. La segunda falla, CVE-2025-27038, pertenece a la categoría use-after-free en el mismo módulo gráfico. Este error puede provocar corrupción de memoria durante el renderizado a través de los controladores de GPU Adreno, utilizados, por ejemplo, en el navegador Chrome en Android. Un problema similar está presente también en la CVE-2025-21480.

Aún no hay detalles técnicos sobre cómo exactamente estas fallas fueron explotadas en ataques reales, sin embargo, Qualcomm hace referencia a información del Google Threat Analysis Group que indica que las tres vulnerabilidades podrían haberse utilizado en ataques dirigidos con un número limitado de objetivos. La historia muestra que deficiencias similares en chipsets de Qualcomm han sido incorporadas repetidamente en arsenales de plataformas de espionaje comercial, como Variston y Cy4Gate. Por esta razón, los expertos creen que las nuevas vulnerabilidades podrían haberse explotado de manera similar, para vigilancia encubierta o acceso no autorizado.

Estas tres fallas ya fueron incluidas en el catálogo de vulnerabilidades explotadas conocidas (Known Exploited Vulnerabilities, KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), lo que obliga automáticamente a todas las agencias federales a aplicar las actualizaciones a más tardar el 24 de junio de 2025.

Además de los errores críticos en los chips de Qualcomm, el paquete de agosto de Google corrige otras dos vulnerabilidades graves en Android Framework (CVE-2025-22441 y CVE-2025-48533), que permitían una escalada de privilegios, así como un defecto crítico en el componente System (CVE-2025-48530). Esta última podría haber permitido la ejecución remota de código al combinarse con otras fallas, sin requerir privilegios especiales ni interacción del usuario.

Google ha preparado dos niveles de actualizaciones para diferentes dispositivos: 2025-08-01 y 2025-08-05. El segundo incluye no solo correcciones estándar, sino también la mitigación de vulnerabilidades en componentes cerrados y de terceros de Arm y Qualcomm. Se recomienda a todos los usuarios de dispositivos Android instalar lo antes posible las nuevas versiones del firmware para minimizar el riesgo de que los atacantes exploten estas fallas. Retrasar la instalación o esperar la actualización puede crear una ventana de oportunidad para los atacantes que logren aprovechar las brechas antes de que se corrijan en todos los dispositivos.