Los móviles Android son vulnerable al ataque de secuestro de imágenes, que puede robar los códidos 2FA en 30 segundos
Investigadores académicos de ciberseguridad han identificado una nueva clase de ataque que hace que los dispositivos Android sean vulnerables al robo de datos sensibles, incluidos los códigos de la autenticación de doble factor (2FA), que recupera en 30 segundos.
La nueva clase de ataque se ha clasificado como CVE-2025-48561 y recibe el nombre de Pixnapping o de secuestro de imágenes. Abre la puerta al robo de cualquier dato de aplicaciones o webs que se muestra en la pantalla de un teléfono Android, sin requerir permisos.
Para ello, se requiere una aplicación maliciosa con la que ejecutar el ataque, que invocará la aplicación de interés, como Google Autheticator para que envíe información confidencial a la pantalla y introduce operaciones gráficas en los píxeles individuales de la información para determinar los que quiere robar. Entonces, usa una canal lateral para extraer los píxeles. En concreto, GPU.zip, es decir, la cantidad de tiempo que el renderizado.
Esto se traduce en que la aplicación maliciosa consigue hacer una especie de captura de pantalla de la información sensible y confidencial, a la que no debería tener acceso, como explican los académicos en la página dedicada a este ataque.
La investigación, que se ha desvelado ahora, se remonta a febrero, cuando los académicos comunicaron a Google el descubrimiento de Pixnapping. Aunque el gigante tecnológico lanzó un parche en julio, el ataque podía volver a habilitarse, con lo que se espera una corrección adicional en boletín de seguridad de Android de diciembre.
En principio, el ciberataque afecta a casi todos los dispositivos Android modernos, si bien los investigadores lo han demostrado en terminales Pixel y en el Samsung Galaxy S25, de los que han recuperado datos de aplicaciones y servicios como Gmail, Cuenta de Google, Signal, Google Authenticator, Venmo y Google Map.
En el caso concreto del ataque que realizaron contra Google Authenticator, demostraron que cualquier aplicación maliciosa puede robar los códigos de 2FA en menos de 30 segundos, ocultando el ataque al usuario.
