Sin clic ni enlace y con control total: Google parchea de urgencia una vulnerabilidad en Android
Hallan vulnerabilidad en herramienta para desarrolladores que permite acceder remotamente a cualquier smartphone — incluso sin que el usuario toque nada
Google instó a los propietarios de smartphones Android a instalar con urgencia las actualizaciones de seguridad de mayo tras el hallazgo de una vulnerabilidad crítica que permite acceder de forma remota al dispositivo sin acciones por parte del usuario. Para el ataque no se necesitan enlaces maliciosos, aplicaciones ni phishing.
La vulnerabilidad recibió el identificador CVE-2026-0073 y afecta a Android 14, 15 y 16, incluidas versiones intermedias. La corrección se incluyó en el paquete de actualizaciones de seguridad del 1 de mayo de 2026, sin embargo la protección depende de los fabricantes de smartphones. Se recomienda a los propietarios comprobar manualmente la disponibilidad de actualizaciones e instalarlas cuanto antes.
El problema está relacionado con el servicio Android Debug Bridge (ADB), conocido como ADB. El instrumento lo usan desarrolladores e ingenieros de servicio para conectar el smartphone al ordenador y gestionar el sistema. Normalmente ADB está desactivado y no debería ser accesible desde fuera, pero algunos fabricantes dejan el servicio activo por error tras las pruebas de fábrica. Errores similares ya han provocado en varias ocasiones infecciones masivas de dispositivos Android.
Los especialistas de la organización británica sin ánimo de lucro BARGHEST detectaron un error lógico en el mecanismo de autenticación de ADB. Al establecer una conexión, el sistema debería verificar las claves criptográficas del dispositivo y del usuario. Se descubrió que, cuando hay una discrepancia en los tipos de claves, por ejemplo RSA y Ed25519, Android informa de un error pero aun así abre una consola de comandos remota.
La vulnerabilidad funciona solo si ADB se ha usado al menos una vez en el dispositivo y el sistema ya ha guardado la clave. Un atacante puede aprovechar el error tanto dentro de la red local como a través de Internet si el puerto ADB queda accesible desde el exterior.
Google asignó a la vulnerabilidad la clasificación «critical» y señaló que para su explotación no se requieren privilegios adicionales ni la intervención del propietario del dispositivo. Al atacante le basta con estar cerca del objetivo o en la misma red. La empresa subrayó además que el problema afecta a uno de los componentes básicos de Android, por lo que las consecuencias pueden alcanzar a todo el sistema, y no solo a aplicaciones individuales.
El representante de la compañía Jamf, Adam Boynton, declaró que la interfaz de depuración nunca debió convertirse en una superficie completa para ataques. Según dijo, la arquitectura de la vulnerabilidad recuerda a los métodos que operadores de software espía comercial han utilizado durante años para comprometer smartphones: acceso al sistema sin acciones del usuario y sin signos notorios de ataque.
No obstante, el error no otorga control total sobre el dispositivo ni permite obtener acceso root. El atacante obtiene privilegios de usuario shell en el contexto de SELinux, sin embargo los especialistas consideran que ese nivel de acceso es extremadamente peligroso, ya que el atacante en la práctica accede a la interfaz interna de depuración de Android.
Google informó que hasta ahora no ha registrado casos de uso de CVE-2026-0073 en ataques reales. No obstante, la empresa recordó que en marzo ya corrigió otra vulnerabilidad de Android que estaba siendo explotada activamente, CVE-2026-21385, relacionada con el componente gráfico de Qualcomm.
Google prometió publicar los parches fuente para el Android Open Source Project en un plazo de 48 horas después de la publicación del boletín de seguridad de mayo. Tradicionalmente, los primeros en recibir las actualizaciones serán los dispositivos Pixel, tras lo cual Samsung y otros fabricantes comenzarán a publicar los parches.