Android
Imagina que llevas a reparar tu smartphone. Lo dejas un par de días, vas a buscarlo y… ¡genial! ¡Está cómo nuevo! Lo que no sabes es que, mientras estaba en el taller, le inyectaron código malicioso que le permitirá a un atacante acceder a él incluso si lo has bloqueado.
Así comienza la historia que contaron los investigadores Alexander Kozlov y Sergey Anufrienko, de Kaspersky ICS CERT, en la conferencia Black Hat Asia de 2026. Alexander y Sergey hallaron una vulnerabilidad que echa enteramente por tierra nuestras creencias sobre la seguridad de los smartphones y la IoT. Es un problema que yace en el propio corazón de los chips de Qualcomm.
¿Qué es el BootROM?
Para dimensionar la gravedad del hallazgo, veamos cómo se inicia un dispositivo moderno con un chip de Qualcomm. El dispositivo es como una fortaleza con varias capas de seguridad encadenadas. Cada capa sucede a otra y verifica la aprobación que otorgó una capa anterior. La capa fundamental ―aquella en la que más se deposita la confianza― se llama BootROM. Es una memoria de solo lectura que forma parte del silicio y que, una vez que el chip sale de la fábrica, ya no se puede modificar
El BootROM es lo primero que se ejecuta cuando se enciende el dispositivo. Verifica la firma del cargador de arranque que viene después, el cual luego verifica el siguiente. Así se crea una cadena de confianza, que termina en el sistema operativo. Si un atacante logra vulnerar la cadena en el nivel del BootROM, todo está perdido: el código malicioso se ejecutará antes de que el sistema operativo principal tenga siquiera oportunidad de cargarse.
Y esto es, precisamente, lo que los atacantes pueden hacer al explotar la vulnerabilidad CVE-2026-25262, descubierta por los investigadores de Kaspersky ICS CERT.
El modo de descarga de emergencia: el punto de entrada
La investigación comenzó con un protocolo llamado Sahara. Es un componente del modo de descarga de emergencia (EDL). Los fabricantes y los centros de reparaciones lo utilizan para revivir dispositivos descompuestos: el teléfono se conecta a una computadora por USB y se carga una utilidad especial con la firma del fabricante (en este caso, Qualcomm).
Sahara está implantado directamente en el cargador de arranque principal (PBL) de ARM, o, en otras palabras, en el BootROM. Debido a ello, el protocolo se ejecuta antes de que se inicie el sistema operativo, antes de que se verifiquen los privilegios de acceso del usuario y antes de que se activen los controles de seguridad. El dispositivo simplemente queda atento a una conexión USB y se pone a la espera de datos.
El esquema de comunicación parece simple: el dispositivo envía a la computadora un “apretón de manos” (un “HOLA” llamado “handshake”), la computadora selecciona el modo, se inicia un ciclo que comienza a cargar la utilidad en fragmentos y, al final del proceso, el dispositivo ejecuta el código cargado. La vulnerabilidad se encontró, precisamente, en la lógica de verificación de estos fragmentos.
Write-what-where: el corazón de la vulnerabilidad
En términos técnicos, el error que introdujeron los desarrolladores se clasifica con el rótulo CWE-123: condición write-what-where. Es uno de los peores errores que se pueden cometer en la programación de bajo nivel. Permite que un atacante escriba datos arbitrarios en una dirección arbitraria de la memoria de un dispositivo.
Sin profundizar en lo técnico, al explotar la vulnerabilidad descubierta, los atacantes pueden obtener acceso a toda la información del dispositivo ―incluidas las contraseñas que ingresó el usuario, los archivos, los contactos y los datos de geolocalización―, así como a la cámara, el micrófono y otros sensores físicos. En ciertos casos, el atacante puede hacerse con el control total del dispositivo. Vulnerar un equipo requiere solo de un cable y unos minutos de acceso físico. Así, el riesgo puede materializarse si el teléfono queda en un centro de reparación, si se lo deja en manos de alguien para que “lo configure y le instale apps” o si, como es normal que ocurra, queda desatendido en algún sitio.
Cuáles son los dispositivos afectados
La vulnerabilidad CVE-2026-25262 afecta a las siguientes series de chips de Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50. Hasta que el fabricante corrija la vulnerabilidad, cada versión fabricada de estos chips estará alcanzada.
Estos chips no son piezas de museo. El MDM9207, con el que realizamos la mayor parte de la investigación, está integrado en módulos de módem utilizados para la Internet de las cosas, equipos industriales, dispositivos inteligentes para el hogar, sistemas de monitoreo de atención médica, rastreadores de logística y terminales bancarias. El MSM8916 es la base de muchos smartphones económicos, mientras que el SDX50 se usa en unidades de control automotoras.
Cómo es el ataque contra un dispositivo vulnerable
Para explotar la vulnerabilidad, hay un escollo: el atacante necesita acceso físico al dispositivo. En el mundo real, los ataques pueden darse en estos contextos:
- centros de reparación de smartphones independientes, donde se deja el teléfono por varias horas;
- puntos de control aduaneros de ciertos países, donde un dispositivo puede ser retenido, inspeccionado y luego devuelto;
- estafas de objetos perdidos y encontrados, que suponen robar el teléfono, manipularlo y luego hacerlo aparecer como por arte de magia;
- espionaje corporativo por parte de un usuario interno o un empleado deshonesto.
Con apenas unos minutos de acceso físico al dispositivo, un atacante puede colocar una puerta trasera tan escondida que, en la mayoría de los casos, no será detectada por herramientas de investigación estándar.
Por qué no hay un parche para esto y qué puedes hacer
El hallazgo se comunicó a Qualcomm en marzo de 2025, tras lo cual la empresa confirmó que sus chips eran vulnerables. Para identificar la vulnerabilidad, Qualcomm reservó el identificador CVE-2026-25262. El 20 de abril de 2026, Kaspersky ICS CERT publicó información técnica sobre la vulnerabilidad y recomendaciones para los usuarios.
Qualcomm incluyó la vulnerabilidad en su boletín de seguridad de mayo. Corregir los dispositivos que ya se fabricaron es fundamentalmente imposible, pero la compañía prometió que la vulnerabilidad no estará presente en ningún chip fabricado en el futuro.
Si hoy tienes un dispositivo con un chip afectado, sigue estas recomendaciones para mitigar el riesgo de infección:
- Ten muy presente el control físico: nunca dejes tus dispositivos desatendidos, en especial si estás de viaje.
- Para cualquier reparación o trabajo de mantenimiento, elige un centro autorizado.
- Actualiza el firmware periódicamente; tal vez no puedas corregir la vulnerabilidad de BootROM, pero sí muchas vulnerabilidades afines que afecten niveles superiores.
- Usa una solución de seguridad confiable en el dispositivo. Lo protegerá de otras amenazas que, combinadas con esta vulnerabilidad, podrían tener consecuencias impredecibles.
Si notas que tu dispositivo con chip de Qualcomm vulnerable comienza a actuar de manera extraña, se sobrecalienta cuando está inactivo, muestra picos inesperados en el tráfico de red o tiene apps que dejan de funcionar como siempre, puede que hayas caído presa de esta vulnerabilidad. Podrás borrar el código malintencionado y restablecer el estado inicial del dispositivo con solo cortarle la energía por completo. Para ello, quita la batería del equipo o deja que la carga se agote por completo (es decir, espera a que el dispositivo se apague por sí solo). Si sigues estos pasos, lo más probable es que el código malintencionado desaparezca del dispositivo: en nuestras investigaciones, no pudimos confirmar que el código fuera capaz de persistir en la memoria no volátil.
¿Quieres más información sobre las vulnerabilidades más graves de los teléfonos Android? Echa un vistazo a estas publicaciones:
Ataques a redes 5G: la carrera armamentista continúa
¿Te están espiando los servicios de geolocalización?
Vulnerabilidad Pixnapping: capturas de pantalla imposibles de bloquear de tu teléfono Android
Consejos