Una vulnerabilidad recientemente descubierta en Android permite que aplicaciones maliciosas accedan al contenido mostrado por otras aplicaciones, lo que podr\u00eda comprometer las frases de recuperaci\u00f3n de billeteras cripto, los c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) y mucho m\u00e1s.<\/p>\n
Seg\u00fan un reciente art\u00edculo de investigaci\u00f3n, el ataque \u00abPixnapping\u00bb \u00abelude todas las medidas de mitigaci\u00f3n del navegador e incluso puede robar secretos de aplicaciones que no son del navegador\u00bb. Esto es posible gracias al uso de las interfaces de programaci\u00f3n de aplicaciones (API) de Android para calcular el contenido de un p\u00edxel espec\u00edfico mostrado por una aplicaci\u00f3n diferente.<\/p>\n
No se trata simplemente de que la aplicaci\u00f3n maliciosa solicite y acceda al contenido mostrado por otra aplicaci\u00f3n. En lugar de ello, superpone una serie de actividades semitransparentes controladas por el atacante para ocultar todo excepto un p\u00edxel elegido, y luego manipula ese p\u00edxel para que su color domine el fotograma.<\/p>\n
Al repetir este proceso y sincronizar la renderizaci\u00f3n de los fotogramas, el malware deduce esos p\u00edxeles para reconstruir los secretos que aparecen en pantalla. Afortunadamente, esto lleva tiempo y limita la utilidad del ataque contra contenidos que no se muestran durante m\u00e1s de unos segundos.<\/p>\n Un tipo de informaci\u00f3n especialmente sensible que suele permanecer en pantalla durante mucho m\u00e1s tiempo que unos segundos son las frases de recuperaci\u00f3n de billeteras cripto. Estas frases, que permiten un acceso completo y sin restricciones a las billeteras cripto conectadas, requieren que los usuarios las anoten para su custodia. El art\u00edculo prob\u00f3 el ataque a los c\u00f3digos 2FA en dispositivos Google Pixel:<\/p>\n \u00abNuestro ataque recupera correctamente el c\u00f3digo 2FA completo de 6 d\u00edgitos en el 73%, 53%, 29% y 53% de las pruebas realizadas en los Pixel 6, 7, 8 y 9, respectivamente. El tiempo medio para recuperar cada c\u00f3digo 2FA es de 14,3, 25,8, 24,9 y 25,3 segundos para el Pixel 6, Pixel 7, Pixel 8 y Pixel 9, respectivamente\u00bb.<\/p><\/blockquote>\n Aunque una frase de recuperaci\u00f3n completa de 12 palabras tardar\u00eda mucho m\u00e1s tiempo en capturarse, el ataque sigue siendo viable si el usuario deja la frase visible mientras la escribe.<\/p>\n La vulnerabilidad se prob\u00f3 en cinco dispositivos con versiones de Android del 13 al 16: Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 y Samsung Galaxy S25. Los investigadores afirmaron que el mismo ataque podr\u00eda funcionar en otros dispositivos Android, ya que las API explotadas est\u00e1n ampliamente disponibles.<\/p>\n Google intent\u00f3 inicialmente corregir el fallo limitando el n\u00famero de actividades que una aplicaci\u00f3n puede difuminar a la vez. Sin embargo, los investigadores afirmaron haber encontrado una soluci\u00f3n alternativa que sigue permitiendo el funcionamiento de Pixnapping.<\/p>\n \u00abA fecha de 13 de octubre, seguimos coordin\u00e1ndonos con Google y Samsung en relaci\u00f3n con los plazos de divulgaci\u00f3n y las medidas de mitigaci\u00f3n\u00bb.<\/p><\/blockquote>\n Seg\u00fan el art\u00edculo, Google calific\u00f3 el problema como de alta gravedad y se comprometi\u00f3 a recompensar a los investigadores con una prima por el hallazgo del error. El equipo tambi\u00e9n se puso en contacto con Samsung para advertirle de que \u00abel parche de Google era insuficiente para proteger los dispositivos Samsung\u00bb.<\/p>\n Las billeteras de hardware ofrecen una protecci\u00f3n segura<\/p>\n La soluci\u00f3n m\u00e1s obvia al problema es evitar mostrar frases de recuperaci\u00f3n o cualquier otro contenido especialmente sensible en los dispositivos Android. A\u00fan mejor ser\u00eda evitar mostrar informaci\u00f3n de recuperaci\u00f3n en cualquier dispositivo con conexi\u00f3n a Internet.<\/p>\n Una soluci\u00f3n sencilla para lograrlo es utilizar una billetera de hardware. Una billetera de hardware es un dispositivo dedicado a la gesti\u00f3n de claves que firma transacciones externamente a un ordenador o smartphone sin exponer nunca la clave privada o la frase de recuperaci\u00f3n. Como dijo el investigador de amenazas Vladimir S en una publicaci\u00f3n de X sobre el tema:<\/p>\n \u00abSimplemente no utilices tu tel\u00e9fono para proteger tus criptomonedas. \u00a1Utiliza una billetera de hardware!\u00bb.<\/p><\/blockquote>\n Aclaraci\u00f3n<\/strong>: La informaci\u00f3n y\/u opiniones emitidas en este art\u00edculo no representan necesariamente los puntos de vista o la l\u00ednea editorial de Cointelegraph. La informaci\u00f3n aqu\u00ed expuesta no debe ser tomada como consejo financiero o recomendaci\u00f3n de inversi\u00f3n. Toda inversi\u00f3n y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigaci\u00f3n antes de tomar una decisi\u00f3n de inversi\u00f3n.<\/p>\n<\/div>\n\n","protected":false},"excerpt":{"rendered":" Una vulnerabilidad recientemente descubierta en Android permite que aplicaciones maliciosas accedan al contenido mostrado por otras aplicaciones, lo que podr\u00eda comprometer las frases de recuperaci\u00f3n de billeteras cripto, los c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) y mucho m\u00e1s. Seg\u00fan un reciente art\u00edculo de investigaci\u00f3n, el ataque \u00abPixnapping\u00bb \u00abelude todas las medidas de mitigaci\u00f3n del …<\/p>\n","protected":false},"author":1,"featured_media":45646,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"fifu_image_url":"https:\/\/images.cointelegraph.com\/cdn-cgi\/image\/format=auto,onerror=redirect,quality=90,width=1200\/https:\/\/s3.cointelegraph.com\/uploads\/2025-10\/0199e2a1-24cc-79ca-82de-512f7eb0c298","fifu_image_alt":"","footnotes":""},"categories":[5],"tags":[],"class_list":["post-45645","post","type-post","status-publish","format-standard","has-post-thumbnail","","category-entretenimiento"],"_links":{"self":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/posts\/45645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=45645"}],"version-history":[{"count":0,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/posts\/45645\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/media\/45646"}],"wp:attachment":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=45645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=45645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=45645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Frases semilla en peligro<\/h2>\n
Respuesta de Google<\/h2>\n