Android vulnerable: Google ha lanzado 120 parches y ahora mismo están explotando fallos en tu móvil.

Android salió con el paquete de correcciones más grande de este año, adelantando el ciclo tradicional «Patch Tuesday». En medio de informes sobre la explotación activa de dos vulnerabilidades, el sistema recibió de una vez 120 parches —un número récord para 2025—. Para comparar: en julio la plataforma no publicó ninguna actualización, pero en septiembre se trata de problemas críticos.

Llaman especialmente la atención dos fallos de alta gravedad. CVE-2025-38352 afecta al kernel de Linux que sustenta el sistema operativo, y CVE-2025-48543 se detectó en el entorno de ejecución donde funcionan las aplicaciones Android. Ambas fallas permiten elevar privilegios localmente sin intervención del usuario. Google no especificó quiénes están explotando estos fallos ni de qué forma, aunque las formulaciones del informe sugieren la posible implicación de empresas que desarrollan soluciones de espionaje. En la Universidad de Toronto, especialistas de Citizen Lab declararon que hasta ahora no han registrado la explotación de estos errores. En cambio, CERT Hong Kong emitió su propia advertencia y confirmó indicios de «ataques dirigidos y limitados».

Además de estas vulnerabilidades de Android, el paquete de septiembre cierra tres errores críticos en componentes cerrados de Qualcomm. CVE-2025-21450 (puntaje CVSS 9.1) se refiere al sistema de gestión del GPS, CVE-2025-21483 afecta a las pilas de red, y CVE-2025-27034 está relacionada con el procesador multimodo de llamadas. En total, Qualcomm solucionó varias fallas graves, continuando con el fortalecimiento de su política de soporte: desde febrero el periodo de publicación de actualizaciones para sus componentes se amplió de cuatro a ocho años. En comparación, Google garantiza siete años de soporte para la línea Pixel 8 y modelos posteriores.

Imagination Technologies también recibió su parte de correcciones: diez parches de alto riesgo para las GPU PowerVR. Además, en el propio Android se cerró una vulnerabilidad crítica de ejecución remota de código en un componente del sistema (CVE-2025-48539), que requiere la instalación inmediata del parche.

Sin embargo, el problema clave sigue siendo la rapidez en la difusión de las actualizaciones. Los propietarios de Google Pixel reciben los parches con rapidez, pero esa gama representa solo alrededor del cuatro por ciento del mercado en EE. UU. Los principales actores —Samsung y Motorola— desplegarán las correcciones según sus propios calendarios. Las fechas de publicación aún no se han anunciado.

Así, la versión de Android de septiembre se convirtió en la más amplia desde el inicio del año y reflejó de inmediato las nuevas realidades: las vulnerabilidades son objeto de ataques activos, por lo que la velocidad de entrega de actualizaciones es crítica. Por ahora, la brecha entre el soporte oportuno de Android “limpio” y la práctica de otros fabricantes sigue siendo uno de los principales problemas del ecosistema.