Vulnerabilidad zero-day, software espía y usurpación de permisos: usuarios de Android deben actualizar ya

Dos vulnerabilidades en Android ya fueron explotadas por atacantes como zero-day antes de la publicación del parche, según el boletín de seguridad de Android de diciembre. Se trata de fallos en el componente Framework que permiten acceder a datos y elevar privilegios en el sistema, por lo que a los propietarios de dispositivos Android les conviene actualizar cuanto antes.

La primera vulnerabilidad, CVE-2025-48633, está relacionada con la divulgación de información en Android Framework. La segunda, CVE-2025-48572, permite a un atacante elevar sus privilegios en el sistema, lo que, por ejemplo, abre la puerta a la instalación de malware o aludir a mecanismos de protección. Ambas fallas recibieron un nivel alto de severidad, y Google señala por separado que «pueden utilizarse en ataques limitados y dirigidos» — es decir, no se trata de explotaciones masivas, sino de operaciones puntuales contra víctimas concretas.

Google no revela quiénes usan estos zero-day ni con qué objetivo. Sin embargo, la experiencia de los últimos años muestra que brechas similares en sistemas operativos móviles son explotadas con frecuencia por proveedores de software espía comercial y por grupos que actúan en interés de organismos estatales — principalmente para la vigilancia encubierta de los propietarios de teléfonos inteligentes.

La agencia CISA añadió ambas vulnerabilidades a su catálogo Known Exploited Vulnerabilities (KEV) — una lista de fallas con explotación confirmada «en condiciones reales». A las agencias federales de EE. UU. se les exige instalar los parches antes del 23 de diciembre, y CISA recomienda encarecidamente a todas las demás organizaciones hacer lo mismo para reducir el riesgo de ciberataques.

El paquete de actualizaciones de diciembre de Android no termina ahí. En total Google cerró 107 vulnerabilidades, 7 de las cuales recibieron estado crítico. Google considera la más peligrosa a CVE-2025-48631 — nuevamente en el componente Framework. Según la evaluación de Google, su explotación puede conducir a una denegación de servicio remota (DoS) sin necesidad de privilegios adicionales en el dispositivo.

Cuatro otras brechas críticas están relacionadas con el núcleo (CVE-2025-48623, CVE-2025-48624, CVE-2025-48637 y CVE-2025-48638) y permiten elevar privilegios en el sistema. Otras dos vulnerabilidades críticas (CVE-2025-47319 y CVE-2025-47372) afectan a componentes cerrados de Qualcomm. Según el fabricante, CVE-2025-47319 puede conducir a una filtración de datos debido a la exposición incorrecta de la API interna TA a TA al sistema operativo, y CVE-2025-47372 constituye un desbordamiento de búfer al leer un archivo ELF dañado con un tamaño excesivamente grande sin la comprobación adecuada.

Además de los problemas con Android, Google también tiene preocupaciones en su navegador. En noviembre la empresa cerró de urgencia otro zero-day — esta vez en Chrome. El fallo CVE-2025-13223 es un error de confusión de tipos en el motor JavaScript V8 y ya se convirtió en el séptimo zero-day en Chrome desde principios de año. Todos ellos están corregidos por ahora.