El nuevo dolor de cabeza de los usuarios de Android se llama Pixnapping. Le bastan 30 segundos para robar los códigos del teléfono

Un grupo de investigadores ha dado a conocer un nuevo ataque dirigido a los móviles Android. Bajo el nombre de ‘Pixnapping’ (un acrónimo de ‘pixel’ y ‘kidnapping’, es decir, secuestro de píxeles), mediante una simple aplicación se puede robar información tan importante como mensajes privados o códigos 2FA.

No necesita permisos. Pixnapping explota las API de Android y un canal lateral de hardware que afecta a casi todos los dispositivos Android modernos”, según explican los académicos.

En menos de 30 segundos se puede ejecutar este ataque que implica el robo de información importante, como estos códigos temporales de autenticación que normalmente utilizamos para blindar nuestras cuentas: “nuestro ataque contra Google Authenticator permite que cualquier aplicación maliciosa robe códigos de 2FA en menos de 30 segundos, ocultando el ataque al usuario”.

Para ello, es necesario que el usuario instale en su teléfono una aplicación maliciosa que ni siquiera necesita permisos para campar a sus anchas y robar la información. Una vez instalada, es capaz de leer los datos que se muestren en pantalla de cualquier otra aplicación.

Hay que tener en cuenta que “si una aplicación contiene información secreta no visible (por ejemplo, una clave secreta almacenada pero que nunca se muestra en pantalla), Pixnapping no puede robar esa información”.

Google y Samsung, entre las primeras víctimas. En un primer momento, los investigadores que han diseñado esta app han probado su funcionamiento en teléfonos Pixel de Google (concretamente, Pixel 6, Pixel 7, Pixel 8 y Pixel 9) y también en Galaxy S25 de Samsung, aunque en el futuro puede funcionar en otros modelos.

En este sentido, apuntan que “hemos demostrado ataques de Pixnapping en teléfonos Google y Samsung, así como la recuperación integral de datos confidenciales de sitios web como Gmail y cuentas de Google, y aplicaciones como Signal, Google Authenticator, Venmo y Google Maps”.

Las actualizaciones no han funcionado, de momento. Para evitar el riesgo que puede conllevar un ‘malware’ de este estilo, Google ya ha lanzado el parche CVE-2025-48561 hace unas semanas para mitigar este problema, pero incluso con esta actualización ‘Pixnapping’ todavía puede funcionar.

Según ha explicado la compañía, se lanzará un parche adicional en el boletín de seguridad de Android de diciembre.

En Xataka Android | La estafa del SIM Swapping puede vaciar tu cuenta bancaria. Si tu móvil tiene estos síntomas, actúa antes de que sea tarde

En Xataka Android | He descubierto los bloqueadores USB y ya no puedo parar: qué uso les doy y cómo diferencio los baratos que sí valen la pena