Tu reloj habla por ti: una vulnerabilidad zero-day en Google Messages convirtió Wear OS en un bot de spa
Usted será el último en enterarse de que su número fue usado para phishing.
La vulnerabilidad en la aplicación Google Messages para Wear OS puso en riesgo la privacidad de millones de propietarios de relojes inteligentes, permitiendo que aplicaciones de terceros envíen mensajes en nombre del usuario sin solicitar permisos ni confirmación. El problema recibió el identificador CVE-2025-12080 y afecta a los dispositivos en los que Google Messages está configurado como la aplicación predeterminada para enviar SMS, MMS o RCS.
El fallo está relacionado con el manejo incorrecto de los llamados intents — mecanismos de Android con los que una aplicación puede solicitar a otra que realice una acción. En operaciones sensibles, como el envío de mensajes mediante el intent ACTION_SENDTO, el sistema debería mostrar una solicitud de confirmación. Sin embargo, la versión de Google Messages para relojes inteligentes ignora ese paso y envía los mensajes de inmediato, vulnerando el modelo de seguridad básico de Android.
La vulnerabilidad cubre cuatro tipos de URI: sms:, smsto:, mms: y mmsto:. Esto significa que una aplicación maliciosa instalada en el reloj puede, sin el conocimiento del usuario, iniciar el envío de mensajes a números arbitrarios. La aplicación no requiere el permiso SEND_SMS y puede iniciar el envío tan pronto se abra o al interactuar con elementos de la interfaz, como botones, tiles o widgets.
El problema es especialmente peligroso por su discreción: el envío de mensajes se realiza sin ser detectado, el usuario no recibe ninguna notificación y la intrusión solo puede verificarse por indicios indirectos. De ese modo, un atacante puede distribuir spam, llevar a cabo campañas de phishing, enviar mensajes a números de tarificación especial o suplantar a la víctima utilizando su dispositivo con fines de ingeniería social.
La vulnerabilidad fue descubierta por Gabriele DiGregorio en marzo de 2025. Por la divulgación responsable a través del programa Google Mobile VRP recibió una recompensa. Para demostrar el error preparó un exploit funcional que utiliza las herramientas estándar de programación para Android. En las pruebas el problema se confirmó en un Pixel Watch 3 con Wear OS y Android 15.
La situación se agrava porque Google Messages viene preinstalado en la mayoría de relojes inteligentes y las alternativas entre mensajeros de terceros son prácticamente inexistentes. Por eso la amenaza afecta a una audiencia amplia, y para su ejecución basta enmascarar la aplicación maliciosa como inofensiva y distribuirla a través de tiendas de aplicaciones u otros canales.
Google ya fue notificado del problema, y se recomienda encarecidamente a los usuarios que instalen las actualizaciones tan pronto estén disponibles. Los especialistas también aconsejan prestar más atención al elegir aplicaciones y revisar los permisos que solicitan, aunque en este caso los mecanismos de control habituales resultan ineficaces. Si es posible, conviene considerar el uso de otros mensajeros, aunque en el ecosistema de Wear OS la oferta es limitada.