Ataque Pixnapping deja a Android vulnerable al robo de datos sensibles

Investigadores han descubierto una vulnerabilidad crítica en Android que permite a apps maliciosas extraer información sensible de otras aplicaciones. El ataque, conocido como Pixnapping, puede interceptar, entre otras cosas, frases de recuperación de wallets cripto y códigos de autenticación de dos factores (2FA), sin que los usuarios lo perciban.

Cómo funciona el ataque Pixnapping

El ataque Pixnapping abusa de ciertas APIs de Android, los puntos de enlace técnicos con los que las apps se comunican con el sistema operativo. Las apps maliciosas las usan para analizar el color de píxeles individuales en la pantalla. Al hacerlo miles de veces por segundo, el malware puede reconstruir, paso a paso, lo que aparece en pantalla.

No es una grabación de pantalla tradicional, porque Android la bloquea por seguridad. En su lugar, el ataque apila ventanas semitransparentes sobre la app objetivo, dejando visible un solo píxel. Observando y manipulando ese píxel, el malware puede deducir lo que hay debajo, como códigos de verificación o información de recuperación.

Los investigadores prueban el ataque en Google y Samsung

Los investigadores probaron Pixnapping en cinco dispositivos Android: los Google Pixel 6, 7, 8 y 9, y el Samsung Galaxy S25. El ataque funcionó en todos, aunque la eficacia varió según el modelo.

Según el informe, el ataque logró reconstruir correctamente el código 2FA de 6 dígitos en el 73%, 53%, 29% y 53% de las pruebas en los Pixel 6, 7, 8 y 9, respectivamente. El tiempo medio por código recuperado estuvo entre 14 y 26 segundos.

Aunque descifrar una frase de recuperación completa de una wallet cripto llevaría mucho más tiempo, el riesgo persiste si los usuarios dejan sus frases de recuperación en pantalla durante largos periodos.

Reacción de Google y Samsung

Google intentó solucionar la vulnerabilidad limitando cuántas actividades superpuestas puede ejecutar una app al mismo tiempo. Sin embargo, los investigadores comprobaron que Pixnapping sigue funcionando pese a esta medida.

Señalaron: «A 13 de octubre, seguimos en conversaciones con Google y Samsung sobre los plazos de divulgación y las medidas que deben tomarse».

Google calificó el problema de muy grave y prometió una recompensa por el hallazgo. Samsung también fue alertada, ya que, según los investigadores, el parche aplicado por Google ofrece una protección insuficiente para los dispositivos de Samsung.

Consejos para usuarios de Android

Se recomienda a los usuarios no mostrar en sus dispositivos Android información sensible como frases de recuperación de wallets cripto o códigos de seguridad. Especialmente para gestionar criptoactivos, es más prudente utilizar una hardware wallet.

Una hardware wallet es un dispositivo físico que firma transacciones de forma segura sin que las claves privadas o las frases de recuperación se expongan nunca a Internet.

El investigador de seguridad Vladimir S remató en X:
«Simplemente no uses el teléfono para proteger tu cripto. Usa una hardware wallet».