Pixnapping: la falla en Android que permite robar códigos 2FA

Última actualización: octubre 16, 2025
Autor: Alberto Navarro
  • Pixnapping extrae códigos 2FA y otros datos en Android sin permisos especiales.
  • Afecta a Pixel 6-9 y Galaxy S25 (Android 13 a 16), con robos en menos de 30 segundos.
  • Google lanzó una mitigación parcial (CVE-2025-48561), pero los investigadores la eluden.
  • Se recomienda FIDO2/WebAuthn, reducir datos en pantalla y evitar apps sospechosas.

Vulnerabilidad Pixnapping en Android

Una técnica bautizada como Pixnapping ha puesto en jaque la seguridad de los móviles Android: permite a apps maliciosas deducir lo que se muestra en pantalla y capturar códigos 2FA, mensajes o mapas en cuestión de segundos, sin pedir permisos especiales ni mostrar alertas visibles al usuario.

El hallazgo, firmado por equipos académicos de universidades estadounidenses, confirma que la fuga de información puede lograrse en modelos populares como Google Pixel y Samsung recientes, y que el ataque funciona combinando trucos de interfaz con canales laterales de procesamiento gráfico.

Qué es Pixnapping y por qué importa

Pixnapping es un ataque que explota las APIs de Android y el comportamiento del subsistema gráfico para leer, píxel a píxel, el contenido que otra aplicación muestra en la pantalla. La clave está en que la app atacante no necesita permisos especiales: opera con actividades superpuestas semitransparentes que aíslan regiones de interés y miden señales sutiles durante el renderizado.

El resultado es que datos efímeros como un código de seis dígitos de Google Authenticator o fragmentos visibles de un chat pueden reconstruirse lo bastante rápido como para ser útiles al atacante.

Ataque Pixnapping en móviles Android

Cómo funciona el robo de píxeles

Los investigadores describen un proceso por etapas donde la app maliciosa selecciona zonas concretas de la pantalla (por ejemplo, donde aparece un número 2FA), induce a que la app objetivo las muestre y manipula el entorno gráfico para que el color del píxel elegido domine el fotograma.

  Cómo encontrar el ICCID en Android

Mediante actividades semitransparentes y sincronización de fotogramas, el malware cambia el tiempo de renderizado según el contenido del píxel: si hay parte de un dígito, el procesamiento difiere frente a cuando está vacío. Esa diferencia actúa como canal lateral para inferir colores y reconstruir lo visible.

En algunos escenarios, tras extraer los píxeles relevantes, se aplican técnicas de OCR para recomponer caracteres y obtener el código o el texto mostrado por la aplicación víctima.

Dispositivos y versiones afectados

Las pruebas confirmadas abarcan Google Pixel 6, 7, 8 y 9, y el Samsung Galaxy S25, con sistemas desde Android 13 hasta Android 16. Según los autores, la base técnica del ataque sugiere que podría adaptarse a más terminales Android, ya que las APIs y mecanismos explotados son comunes en el ecosistema.

Efectividad medida en el laboratorio

En condiciones controladas, la recuperación de un código 2FA de seis dígitos alcanzó tasas de éxito del 73% en Pixel 6, 53% en Pixel 7, 29% en Pixel 8 y 53% en Pixel 9. El tiempo promedio por código osciló entre 14 y 26 segundos, un margen que, en muchos casos, encaja dentro de la ventana de validez típica de 30 segundos.

Aunque Pixnapping también podría apuntar a frases semilla de monederos cripto, capturarlas completas requeriría más tiempo; aun así, el riesgo existe si el usuario deja visible la palabra o la lista mientras la anota en otro medio.

Impacto: más allá de los códigos 2FA

El alcance del problema afecta a aplicaciones de autenticación, banca y finanzas, mensajería y correo, así como a la visualización de mapas y líneas de tiempo de ubicación. En esencia, cualquier dato sensible que se muestre en pantalla durante unos segundos puede verse comprometido.

  Cómo obtener eSIM para Android

No obstante, Pixnapping no puede robar información que nunca llegue a mostrarse (p. ej., claves almacenadas internamente y jamás renderizadas en la interfaz), lo que subraya la importancia de minimizar la exposición visual de secretos.

Respuesta de Google y estado del parche

Google ha reconocido el problema bajo el identificador CVE-2025-48561 (CVSS 5,5) y publicó una mitigación parcial en el boletín de seguridad de septiembre, con otra actualización prevista para diciembre. La compañía indica que no ha observado explotación a gran escala y que el impacto puede depender de características específicas de cada dispositivo.

Los investigadores, sin embargo, señalan que es posible burlar la mitigación de septiembre con variantes del ataque, lo que sugiere que harán falta cambios más profundos en el sistema gráfico y en cómo Android gestiona las superposiciones y el dibujo de contenido por parte de terceras apps.

Riesgos y obligaciones para empresas y desarrolladores

Para startups y equipos de producto, Pixnapping obliga a revisar la estrategia de autenticación y el ciclo de vida de datos sensibles en la interfaz: qué se muestra, durante cuánto tiempo y bajo qué condiciones de superposición o captura.

También conviene evaluar alternativas más robustas como FIDO2/WebAuthn, reducir la dependencia de códigos visibles y aplicar patrones de UX que limiten la necesidad de presentar secretos de forma legible.

Medidas de mitigación recomendadas

Adoptar autenticación basada en hardware (FIDO2/WebAuthn) siempre que sea posible, en lugar de códigos TOTP que deban leerse en pantalla.

Minimizar la exposición en pantalla de datos sensibles (ocultar automáticamente, ofuscar dígitos salvo interacción, acortar tiempos de visibilidad).

Mantener el sistema y las apps actualizados con los últimos parches de seguridad y seguir los avisos del fabricante.

  ¿Cómo libro mis datos de la tarjeta SIM en un teléfono Android?

Evitar instalar aplicaciones de fuentes no confiables y revisar los comportamientos anómalos de apps que muestren superposiciones persistentes.

Dispositivos personales y criptoactivos

Si gestionas frases de recuperación de monederos, evita mostrarlas en móviles conectados a Internet. Valora usar una billetera de hardware para que las claves nunca se rendericen en una pantalla potencialmente atacable.

Fuentes

  1. https://arstechnica.com/security/2025/10/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones
  2. https://www.pixnapping.com
  3. https://www.theregister.com/2025/10/13/android_pixnapping_attack_captures_2fa_codes/

La fotografía completa que dibujan los estudios es clara: con Pixnapping se introducen vías novedosas para espiar lo que se muestra en pantalla, el parche inicial de Google mitiga parcialmente pero aún hay margen para evadirlo, y la protección más efectiva hoy pasa por limitar la exposición de secretos, actualizar con diligencia y migrar a autenticación resistente al phishing basada en hardware.