Un grupo de investigadores de seguridad ha revelado un ataque inédito y silencioso llamado Pixnapping, capaz de capturar lo que aparece en la pantalla de tu teléfono sin que notes absolutamente nada. Desde códigos de autenticación en dos pasos (2FA) y mensajes privados, hasta ubicaciones en Google Maps, este método puede filtrar información altamente sensible sin requerir permisos especiales ni mostrar alertas visibles.
¿Cómo funciona Pixnapping?
A diferencia de los ataques tradicionales que dependen de malware, capturas de pantalla o acceso a la cámara, Pixnapping aprovecha la forma en que Android procesa los píxeles en pantalla. La técnica combina manipulación de software y trucos de sincronización de hardware para transformar funciones legítimas del sistema en una fuente de fuga de datos.
En términos simples, una app maliciosa puede solicitar a otra aplicación que muestre una pantalla específica —por ejemplo, tu bandeja de entrada, un mapa o un código de autenticación—. Mientras ese contenido se dibuja, el atacante mide el tiempo que tarda cada píxel en aparecer, generando un “canal lateral” de información.
Al repetir el proceso en distintas coordenadas, los atacantes pueden reconstruir la imagen completa de la pantalla, píxel por píxel, obteniendo así datos confidenciales sin necesidad de capturas reales. Entre las apps vulnerables identificadas están Signal, Gmail, Google Authenticator, Venmo y Google Maps, incluso cuando el usuario mantiene buenas prácticas de seguridad.
Pruebas y dispositivos afectados
El ataque fue desarrollado y probado por investigadores de UC Berkeley, UC San Diego, Carnegie Mellon y la Universidad de Washington. En sus experimentos, lograron extraer información real de teléfonos de alta gama como el Pixel 10 y el Galaxy S25 Ultra, incluyendo códigos de autenticación de dos factores en apenas 30 segundos, sin generar notificaciones ni advertencias del sistema.
Google ha asignado al fallo el identificador CVE-2025-48561, parcialmente corregido en la actualización de seguridad de Android de septiembre de 2025. Sin embargo, los investigadores advirtieron que aún existen métodos para eludir la mitigación inicial, aunque la compañía asegura que no se han detectado ataques reales utilizando Pixnapping hasta la fecha.
Cómo protegerte del ataque Pixnapping
Mientras Google trabaja en una solución definitiva, los expertos recomiendan seguir estas medidas preventivas:
- Instala las actualizaciones de seguridad tan pronto estén disponibles.
- Evita aplicaciones de fuentes no confiables o tiendas de terceros.
- Usa métodos de autenticación más robustos, como llaves de seguridad físicas o aplicaciones de autenticación en un dispositivo separado.
Un recordatorio sobre la fragilidad digital
Pixnapping demuestra que hasta los píxeles de tu pantalla pueden convertirse en una vulnerabilidad. En un entorno donde las amenazas evolucionan con rapidez, mantener tu dispositivo actualizado y limitar los permisos de tus aplicaciones sigue siendo la mejor defensa.
Lo invisible, en este caso, puede ser lo más peligroso.