android
Imagina entregar tu teléfono inteligente para que le hagan una reparación. Lo recoges un par de días después, y genial, ¡está funcionando de nuevo! Pero ni siquiera te darás cuenta de que tu dispositivo ha sido inyectado con un código malicioso que permite a los atacantes acceder a tu teléfono inteligente incluso cuando está bloqueado.
Este es el comienzo de la historia compartida por los investigadores de Kaspersky ICS CERT, Alexander Kozlov y Sergey Anufrienko, en la conferencia Black Hat Asia 2026. Se las arreglaron para descubrir una vulnerabilidad que transformó las suposiciones convencionales sobre la seguridad de los teléfonos inteligentes y del Internet de las cosas (IoT). Su núcleo se encuentra en el corazón de los chips de Qualcomm.
¿Qué es BootROM?
Para comprender la gravedad del descubrimiento, primero debemos ver cómo se inician los dispositivos modernos que utilizan chips de Qualcomm. Imagínatelo como una fortaleza con múltiples niveles de seguridad. Cada nivel que viene después verifica el pase emitido por el anterior. La base fundamental (la capa más fiable de todas) es BootROM, una memoria de solo lectura integrada directamente en el chip que no se puede modificar una vez que sale de la fábrica.
BootROM es lo primero que se ejecuta cuando se enciende un dispositivo. Verifica la firma del siguiente cargador de arranque, que a su vez verifica el siguiente, y así se crea una cadena de confianza que llega hasta el sistema operativo. Si un atacante puede poner en riesgo esta cadena en el nivel de BootROM, se acabó el juego: el código malicioso se ejecutará antes de que el sistema operativo principal tenga la oportunidad de cargarse.
Esto es exactamente lo que los atacantes pueden hacer al aprovechar la vulnerabilidad CVE-2026-25262 que descubrieron los investigadores de Kaspersky ICS CERT.
El modo de descarga de emergencia como punto de entrada
La investigación comenzó con un protocolo llamado Sahara. Este es un componente del Modo de descarga de emergencia (EDL). Los fabricantes y los centros de servicio lo usan para reactivar dispositivos bloqueados: conectan el teléfono a un ordenador a través de un USB y le cargan un programa de utilidad especial firmado por el fabricante (en este caso, Qualcomm).
Sahara se implementa directamente dentro del PBL (cargador de arranque principal) de ARM: la propia BootROM. Esto significa que el protocolo se ejecuta antes de que se inicie cualquier sistema operativo, antes de que se verifique cualquier privilegio de acceso de usuario y antes de que se active cualquier control de seguridad. El dispositivo simplemente espera una conexión USB, listo para aceptar datos.
El esquema de comunicación parece sencillo: el dispositivo envía un protocolo de enlace (HELLO) al ordenador, el ordenador selecciona el modo, un ciclo comienza a cargar el programa de utilidad por partes y, por último, el dispositivo ejecuta el código cargado. Y fue dentro de la lógica de verificación de estas partes del archivo que se identificó la vulnerabilidad.
Write-What-Where: el núcleo de la vulnerabilidad
En términos técnicos, el error que introdujeron los desarrolladores se clasifica como CWE-123: condición Write-What-Where. Esto es de lo peor que puedes encontrar en fallos en la programación de bajo nivel. Un atacante puede escribir datos arbitrarios en una dirección arbitraria en la memoria del dispositivo.
Sin profundizar demasiado en los problemas técnicos, basta con decir que al aprovechar la vulnerabilidad descubierta, los atacantes pueden obtener acceso a cualquier dato en el dispositivo, incluidas las contraseñas introducidas por el usuario, los archivos, los contactos, los datos de geolocalización, así como los sensores de hardware como la cámara y el micrófono. En ciertos casos, es posible obtener un control total sobre el dispositivo. Solo unos minutos de acceso físico al dispositivo a través de una conexión por cable bastan para que el dispositivo se vea vulnerado. Esto crea un riesgo si entregas tu teléfono inteligente a un taller de reparación, se lo pasas a otra persona para que configure e instale aplicaciones, o simplemente lo dejas desatendido.
Qué dispositivos se ven afectados
La vulnerabilidad CVE-2026-25262 afecta a las siguientes series de chips de Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50. Todas y cada una de las versiones lanzadas hasta la fecha, hasta que el fabricante repare la vulnerabilidad.
Estas no son piezas de museo obsoletas. La MDM9207, que utilizamos para la mayor parte de nuestra investigación, está integrada en módulos de módem para el Internet de las cosas (IoT), equipos industriales, dispositivos de hogar inteligente, sistemas de control de salud, rastreadores de logística y terminales bancarias. MSM8916 es el motor de muchos teléfonos inteligentes económicos, mientras que SDX50 se utiliza en unidades de control de automóviles.
Cómo es el ataque a los dispositivos vulnerables
El tema es que el atacante necesita acceso físico al dispositivo para lograrlo. En la vida real, esto se traduce en lo siguiente:
- Reparaciones de teléfonos inteligentes en talleres de reparación de terceros, donde se deja el teléfono durante varias horas.
- Puntos de control de aduanas en ciertos países, donde los dispositivos se retienen, se inspeccionan y luego se devuelven.
- Estafas de objetos perdidos y encontrados, en las que te roban el teléfono, lo manipulan y, luego, aparece misteriosamente.
- Espionaje corporativo a través de una persona con información privilegiada o un empleado corrupto.
Con solo unos minutos de acceso físico al dispositivo, un atacante puede colocar una puerta trasera tan encubierta que las herramientas de investigación estándar ni siquiera la detectarán en la mayoría de los casos.
Por qué no hay un parche y qué hacer
Se notificó a Qualcomm del descubrimiento en marzo de 2025 y confirmó la vulnerabilidad en sus chips. Para identificarla, el fabricante le asignó el número CVE-2026-25262, y el 20 de abril de 2026, Kaspersky ICS CERT publicó información técnica sobre la vulnerabilidad y recomendaciones para los usuarios.
Qualcomm incluyó esta vulnerabilidad en su boletín de seguridad del mes de mayo. Si bien reparar los dispositivos ya fabricados es fundamentalmente imposible, la empresa prometió fabricar todos los chips futuros sin esta vulnerabilidad.
Si actualmente posees un dispositivo con un chip afectado, usa nuestras recomendaciones a continuación para ayudar a mitigar el riesgo de infección.
- Pon en práctica un control físico estricto: no dejes tus dispositivos desatendidos, especialmente cuando estés de vacaciones o en viajes de negocios.
- Escoge solo centros de servicio autorizados para reparaciones y mantenimiento.
- Actualiza tu firmware con regularidad (esto no parcheará la vulnerabilidad de BootROM, pero puede eliminar muchas vulnerabilidades relacionadas en niveles más altos).
- Usa una solución de seguridad fiable en tu dispositivo. Esto protegerá tu dispositivo de otras amenazas que, combinadas con esta vulnerabilidad, podrían tener consecuencias impredecibles.
Si notas que tu dispositivo con chip de Qualcomm comienza a funcionar mal, se sobrecalienta cuando está inactivo, te informa de picos inesperados en el tráfico de red o las aplicaciones se comportan de manera extraña, es posible que hayas sido víctima de esta vulnerabilidad. Puedes eliminar el código malicioso y restablecer el dispositivo a su estado de línea de base simplemente cortando por completo el suministro eléctrico. Esto significa sacar la batería o dejar que se descargue hasta cero hasta que el dispositivo se apague por completo. En este caso, lo más probable es que el código malicioso no persista en el dispositivo. Durante nuestra investigación, no pudimos confirmar que pudiera lograr la persistencia en la memoria no volátil.
¿Quieres aprender más sobre vulnerabilidades graves en los teléfonos Android? Mira estas publicaciones:
Ataques a redes 5G: la carrera armamentista continúa
¿Te están espiando los servicios de geolocalización?
Vulnerabilidad Pixnapping: capturas de pantalla imposibles de bloquear de tu teléfono Android
Consejos