Si creías que tu teléfono estaba a salvo solo por tener un PIN y estar bloqueado, las noticias de este 18 de marzo de 2026 te harán cambiar de opinión. Investigadores del laboratorio Ledger Donjon han descubierto una vulnerabilidad crítica en los chips MediaTek que permite a un atacante extraer tus claves raíz y descifrar todo tu contenido en menos de un minuto.
Lo más aterrador: el proceso ocurre en la cadena de arranque, antes de que el sistema operativo se cargue y mientras el dispositivo parece estar totalmente inactivo.
La vulnerabilidad, identificada como CVE-2025-20435, afecta al precargador del firmware de los chipsets MediaTek. Al conectar el teléfono vía USB, un atacante puede saltarse las barreras de seguridad y recuperar el Número PIN y las claves criptográficas que protegen el almacenamiento.
Una vez obtenidas estas claves:
- Descifrado Offline: El atacante puede volcar toda la memoria del teléfono y descifrarla en otro equipo.
- Acceso Total: Mensajes, fotografías, aplicaciones bancarias y frases semilla de criptomonedas quedan expuestas.
- Fuerza Bruta Instantánea: Con las claves raíz en mano, romper un PIN de 4 o 6 dígitos toma apenas unos segundos.
¿Está tu teléfono en la lista negra?
Este fallo afecta a aproximadamente 875 millones de dispositivos en todo el mundo. El ecosistema de MediaTek es inmenso y domina la gama media y económica. Entre las marcas que utilizan los chips afectados se encuentran:
- Xiaomi, Oppo, Vivo y Realme.
- El reciente Nothing CMF Phone 1 (utilizado en la prueba de concepto).
- Dispositivos con chipsets de las series MT6700, MT6800, MT6900, MT8100 y MT8700.
Si tu teléfono utiliza un procesador de estas series (puedes verificarlo en apps como CPU-Z o en GSMArena), estás en el grupo de riesgo.
La solución: Una carrera contra el tiempo
La buena noticia es que ya existe un parche. Ledger notificó a MediaTek con 90 días de antelación y el arreglo fue enviado a los fabricantes. La mala noticia es la fragmentación de Android: que el parche exista no significa que haya llegado a tu móvil.
Pasos urgentes para protegerte:
- Actualización de Seguridad: Ve a Ajustes > Sistema > Actualización de seguridad. Si tienes un parche con fecha de marzo de 2026 o posterior, es probable que estés a salvo.
- Higiene Física: Dado que el ataque requiere conexión física, no pierdas de vista tu dispositivo y evita «estaciones de carga» USB desconocidas en aeropuertos o cafeterías.
- Para dispositivos antiguos: Si tu teléfono ya no recibe soporte oficial, tus datos son vulnerables de forma permanente ante este ataque físico. Considera migrar tus cuentas críticas a un dispositivo más moderno o con chips con seguridad aislada (como los Google Pixel con chip Titan M).
Conclusión: Los smartphones no son bóvedas
Como advirtió Charles Guillemet, CTO de Ledger: «Los chips de uso general se construyen por conveniencia, no por protección extrema». Este incidente es un recordatorio de que la seguridad absoluta en movilidad es un mito si el atacante tiene acceso físico al hardware. ¿Tu teléfono ha recibido la última actualización de seguridad de marzo? No esperes a mañana para comprobarlo.