Los códigos 2FA se han convertido en una parte esencial de nuestra seguridad digital. Pero ahora, una nueva vulnerabilidad llamada Pixnapping amenaza con poner en riesgo esa capa de protección que todos considerábamos intocable. Investigadores de la Universidad de California, Carnegie Mellon y la Universidad de Washington descubrieron un método capaz de robar información directamente desde la pantalla de un teléfono Android sin tomar capturas, sin permisos especiales y en menos de 30 segundos.
Este ataque, catalogado como de alta gravedad por Google, demuestra que incluso mirar tu pantalla puede ser más peligroso de lo que parece.
Cómo funciona el ataque
Pixnapping aprovecha una debilidad en la forma en que Android procesa y dibuja los píxeles en pantalla. A diferencia de los ataques tradicionales, que requieren permisos o capturas visibles, este método analiza el tiempo que tarda la GPU en renderizar cada imagen o animación. A partir de esas microvariaciones, los atacantes pueden reconstruir lo que el usuario ve, incluyendo códigos de autenticación, mensajes privados o incluso ubicaciones en Google Maps.
El proceso es ingenioso y silencioso. Todo comienza con una aplicación aparentemente inocente que la víctima instala sin sospechar nada. Esta app lanza comandos del sistema para abrir aplicaciones legítimas —como Gmail, Signal o Google Authenticator— y superpone una capa casi invisible sobre ellas. Esa fina capa provoca ligeros cambios en el proceso de renderizado, suficientes para que el software malicioso interprete los colores y las formas que aparecen debajo.
Con suficiente análisis y ayuda de inteligencia artificial, los investigadores lograron extraer códigos 2FA de Google Authenticator en menos de 30 segundos, además de leer fragmentos de mensajes y datos de localización. Lo más inquietante es que todo esto ocurre sin dejar rastros, ya que Android no detecta ninguna acción inusual ni genera alertas de seguridad.
Qué puedes hacer para protegerte
Aunque el ataque suena alarmante, la buena noticia es que ya existen medidas de mitigación. Google lanzó un parche de seguridad para los dispositivos Pixel, y otros fabricantes trabajan en sus propias soluciones. Sin embargo, muchos teléfonos aún no han recibido la actualización, lo que deja abierta una ventana de riesgo.
Mientras tanto, puedes seguir estos consejos para mantenerte protegido:
- Actualiza tu dispositivo Android tan pronto como haya nuevas versiones del sistema o parches de seguridad.
- Evita instalar aplicaciones fuera de Google Play o de fuentes desconocidas.
- Desconfía de apps que abren otras aplicaciones sin motivo o muestran ventanas superpuestas.
- Usa una solución de seguridad móvil confiable, capaz de detectar comportamientos sospechosos o accesos inusuales.
- Mantén la mínima cantidad de apps activas en segundo plano, especialmente si manejas información sensible.
Los expertos aclaran que Pixnapping no afecta a iPhones, ya que el ataque explota un mecanismo interno del sistema gráfico de Android. Sin embargo, el descubrimiento plantea una advertencia más amplia: las fronteras entre hardware y software pueden ser vulnerables incluso cuando las medidas tradicionales parecen suficientes.
Pixnapping demuestra que los ciberdelincuentes están buscando formas cada vez más creativas de robar información, y que la privacidad visual ya no es garantía de seguridad. La clave, una vez más, está en la prevención: mantener el sistema actualizado, evitar descargas sospechosas y reaccionar rápido ante cualquier comportamiento extraño en el teléfono.