Pixnapping: el nuevo ataque que roba códigos 2FA en Android sin permisos

[Noticias]

Pixnapping: el nuevo ataque que roba códigos 2FA en Android sin permisos

Un grupo de investigadores ha descubierto una grave vulnerabilidad en Android llamada Pixnapping, capaz de robar información confidencial de millones de dispositivos. El nombre proviene de la combinación de “pixel” y “kidnapping” (secuestro), y hace referencia a su capacidad para capturar píxeles en pantalla y obtener datos sensibles sin que el usuario lo perciba. El ataque funciona a través de una aplicación maliciosa que no necesita permisos. Una vez instalada, aprovecha un canal lateral del hardware y ciertas API del sistema para leer lo que se muestra en la pantalla de cualquier otra app. En menos de 30 segundos, Pixnapping puede extraer códigos de autenticación 2FA, mensajes privados e información visual de aplicaciones como Google Authenticator, Signal o Gmail. El estudio señala que, aunque la técnica no puede acceder a datos no visibles (como claves almacenadas internamente), su nivel de riesgo es extremo por la sencillez con la que actúa. Los investigadores probaron el ataque en varios modelos, incluyendo los Google Pixel 6, 7, 8 y 9, así como en el Samsung Galaxy S25, con resultados exitosos en todos los casos. Google ya lanzó el parche CVE-2025-48561 para mitigar la amenaza, pero los expertos confirman que Pixnapping sigue funcionando incluso tras la actualización. Se espera un nuevo parche definitivo en el boletín de seguridad de Android de diciembre. Mientras tanto, la recomendación principal es evitar instalar aplicaciones de origen desconocido y mantenerse atento a futuras actualizaciones del sistema.

fuente

[xmigoll]

Al final es más seguro llevar una libreta liberthön, de toda la vida y llevar apuntado todo, eso sí, con un bolígrafo de 4 colores para que seas más guay.