Imagina entregar tu tel\u00e9fono inteligente para que le hagan una reparaci\u00f3n. Lo recoges un par de d\u00edas despu\u00e9s, y genial, \u00a1est\u00e1 funcionando de nuevo! Pero ni siquiera te dar\u00e1s cuenta de que tu dispositivo ha sido inyectado con un c\u00f3digo malicioso que permite a los atacantes acceder a tu tel\u00e9fono inteligente incluso cuando est\u00e1 bloqueado.<\/p>\n
Este es el comienzo de la historia compartida por los investigadores de Kaspersky ICS CERT, Alexander Kozlov y Sergey Anufrienko, en la conferencia Black Hat Asia 2026<\/a>. Se las arreglaron para descubrir una vulnerabilidad que transform\u00f3 las suposiciones convencionales sobre la seguridad de los tel\u00e9fonos inteligentes y del Internet de las cosas (IoT). Su n\u00facleo se encuentra en el coraz\u00f3n de los chips de Qualcomm.<\/p>\n Para comprender la gravedad del descubrimiento, primero debemos ver c\u00f3mo se inician los dispositivos modernos que utilizan chips de Qualcomm. Imag\u00ednatelo como una fortaleza con m\u00faltiples niveles de seguridad. Cada nivel que viene despu\u00e9s verifica el pase emitido por el anterior. La base fundamental (la capa m\u00e1s fiable de todas) es BootROM, una memoria de solo lectura integrada directamente en el chip que no se puede modificar una vez que sale de la f\u00e1brica<\/a>.<\/p>\n BootROM es lo primero que se ejecuta cuando se enciende un dispositivo. Verifica la firma del siguiente cargador de arranque, que a su vez verifica el siguiente, y as\u00ed se crea una cadena de confianza que llega hasta el sistema operativo. Si un atacante puede poner en riesgo esta cadena en el nivel de BootROM, se acab\u00f3 el juego: el c\u00f3digo malicioso se ejecutar\u00e1 antes de que el sistema operativo principal tenga la oportunidad de cargarse.<\/p>\n Esto es exactamente lo que los atacantes pueden hacer al aprovechar la vulnerabilidad CVE-2026-25262<\/a> que descubrieron los investigadores de Kaspersky ICS CERT.<\/p>\n La investigaci\u00f3n comenz\u00f3 con un protocolo llamado Sahara. Este es un componente del Modo de descarga de emergencia (EDL). Los fabricantes y los centros de servicio lo usan para reactivar dispositivos bloqueados: conectan el tel\u00e9fono a un ordenador a trav\u00e9s de un USB y le cargan un programa de utilidad especial firmado por el fabricante (en este caso, Qualcomm).<\/p>\n Sahara se implementa directamente dentro del PBL (cargador de arranque principal) de ARM: la propia BootROM. Esto significa que el protocolo se ejecuta antes de que se inicie cualquier sistema operativo, antes de que se verifique cualquier privilegio de acceso de usuario y antes de que se active cualquier control de seguridad. El dispositivo simplemente espera una conexi\u00f3n USB, listo para aceptar datos.<\/p>\n El esquema de comunicaci\u00f3n parece sencillo: el dispositivo env\u00eda un protocolo de enlace (HELLO) al ordenador, el ordenador selecciona el modo, un ciclo comienza a cargar el programa de utilidad por partes y, por \u00faltimo, el dispositivo ejecuta el c\u00f3digo cargado. Y fue dentro de la l\u00f3gica de verificaci\u00f3n de estas partes del archivo que se identific\u00f3 la vulnerabilidad.<\/p>\n En t\u00e9rminos t\u00e9cnicos, el error que introdujeron los desarrolladores se clasifica como CWE-123: condici\u00f3n Write-What-Where. Esto es de lo peor que puedes encontrar en fallos en la programaci\u00f3n de bajo nivel. Un atacante puede escribir datos arbitrarios en una direcci\u00f3n arbitraria en la memoria del dispositivo.<\/p>\n Sin profundizar demasiado en los problemas t\u00e9cnicos, basta con decir que al aprovechar la vulnerabilidad descubierta, los atacantes pueden obtener acceso a cualquier dato en el dispositivo, incluidas las contrase\u00f1as introducidas por el usuario, los archivos, los contactos, los datos de geolocalizaci\u00f3n, as\u00ed como los sensores de hardware como la c\u00e1mara y el micr\u00f3fono. En ciertos casos, es posible obtener un control total sobre el dispositivo. Solo unos minutos de acceso f\u00edsico al dispositivo a trav\u00e9s de una conexi\u00f3n por cable bastan para que el dispositivo se vea vulnerado. Esto crea un riesgo si entregas tu tel\u00e9fono inteligente a un taller de reparaci\u00f3n, se lo pasas a otra persona para que configure e instale aplicaciones, o simplemente lo dejas desatendido.<\/p>\n La vulnerabilidad CVE-2026-25262 afecta a las siguientes series de chips de Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50. Todas y cada una de las versiones lanzadas hasta la fecha, hasta que el fabricante repare la vulnerabilidad.<\/p>\n Estas no son piezas de museo obsoletas. La MDM9207, que utilizamos para la mayor parte de nuestra investigaci\u00f3n, est\u00e1 integrada en m\u00f3dulos de m\u00f3dem para el Internet de las cosas (IoT), equipos industriales, dispositivos de hogar inteligente, sistemas de control de salud, rastreadores de log\u00edstica y terminales bancarias. MSM8916 es el motor de muchos tel\u00e9fonos inteligentes econ\u00f3micos<\/a>, mientras que SDX50 se utiliza en unidades de control de autom\u00f3viles.<\/p>\n El tema es que el atacante necesita acceso f\u00edsico al dispositivo para lograrlo. En la vida real, esto se traduce en lo siguiente:<\/p>\n Con solo unos minutos de acceso f\u00edsico al dispositivo, un atacante puede colocar una puerta trasera tan encubierta que las herramientas de investigaci\u00f3n est\u00e1ndar ni siquiera la detectar\u00e1n en la mayor\u00eda de los casos.<\/p>\n Se notific\u00f3 a Qualcomm del descubrimiento en marzo de 2025 y confirm\u00f3 la vulnerabilidad en sus chips. Para identificarla, el fabricante le asign\u00f3 el n\u00famero CVE-2026-25262<\/a>, y el 20 de abril de 2026, Kaspersky ICS CERT public\u00f3<\/a> informaci\u00f3n t\u00e9cnica sobre la vulnerabilidad y recomendaciones para los usuarios.<\/p>\n Qualcomm incluy\u00f3 esta vulnerabilidad en su bolet\u00edn de seguridad del mes de mayo<\/a>. Si bien reparar los dispositivos ya fabricados es fundamentalmente imposible, la empresa prometi\u00f3 fabricar todos los chips futuros sin esta vulnerabilidad.<\/p>\n Si actualmente posees un dispositivo con un chip afectado, usa nuestras recomendaciones a continuaci\u00f3n para ayudar a mitigar el riesgo de infecci\u00f3n.<\/p>\n Si notas que tu dispositivo con chip de Qualcomm comienza a funcionar mal, se sobrecalienta cuando est\u00e1 inactivo, te informa de picos inesperados en el tr\u00e1fico de red o las aplicaciones se comportan de manera extra\u00f1a, es posible que hayas sido v\u00edctima de esta vulnerabilidad. Puedes eliminar el c\u00f3digo malicioso y restablecer el dispositivo a su estado de l\u00ednea de base simplemente cortando por completo el suministro el\u00e9ctrico. Esto significa sacar la bater\u00eda o dejar que se descargue hasta cero hasta que el dispositivo se apague por completo. En este caso, lo m\u00e1s probable es que el c\u00f3digo malicioso no persista en el dispositivo. Durante nuestra investigaci\u00f3n, no pudimos confirmar que pudiera lograr la persistencia en la memoria no vol\u00e1til.<\/p>\n \u00bfQuieres aprender m\u00e1s sobre vulnerabilidades graves en los tel\u00e9fonos Android? Mira estas publicaciones:<\/p>\n Ataques a redes 5G: la carrera armamentista contin\u00faa<\/a><\/p>\n \u00bfTe est\u00e1n espiando los servicios de geolocalizaci\u00f3n?<\/a><\/p>\n Vulnerabilidad Pixnapping: capturas de pantalla imposibles de bloquear de tu tel\u00e9fono Android<\/a><\/p>\n\u00bfQu\u00e9 es BootROM?<\/h2>\n
El modo de descarga de emergencia como punto de entrada<\/h2>\n
Write-What-Where: el n\u00facleo de la vulnerabilidad<\/h2>\n
Qu\u00e9 dispositivos se ven afectados<\/h2>\n
C\u00f3mo es el ataque a los dispositivos vulnerables<\/h2>\n
\n
Por qu\u00e9 no hay un parche y qu\u00e9 hacer<\/h2>\n
\n