Las últimas semanas están siendo especialmente movidas para quienes usan un móvil Xiaomi, Redmi o POCO. Además del ciclo habitual de mejoras, la marca ha comenzado a distribuir un parche de seguridad clave que corrige una vulnerabilidad crítica de Android y, en paralelo, está liberando actualizaciones puntuales incluso para algunos modelos ya descatalogados.
Todo este movimiento tiene un motivo muy claro: reforzar la seguridad de HyperOS en un momento en el que han salido a la luz fallos graves que afectan a distintas versiones de Android. Si vives en España o en otro país europeo y utilizas un teléfono de la marca, conviene ponerle atención a esta actualización aunque no traiga cambios estéticos ni nuevas funciones visibles.
La vulnerabilidad CVE-2026-0073: qué es y por qué afecta de lleno a Xiaomi
El detonante de este parche es la vulnerabilidad catalogada como CVE-2026-0073, incluida por Google en el boletín oficial de seguridad de Android correspondiente a mayo de 2026. El fallo golpea directamente a un componente central del sistema, relacionado con el servicio adbd (Android Debug Bridge), utilizado para tareas avanzadas de depuración y comunicación con el dispositivo.
Según la información publicada por Google, un error lógico en ese servicio permite la ejecución remota de código con permisos de “shell user” sin que el usuario tenga que hacer absolutamente nada. Es decir, estaríamos ante un escenario de ataque de tipo «zero‑click»: no hace falta instalar aplicaciones raras, ni abrir enlaces extraños, ni caer en phishing vía SMS o correo.
La vulnerabilidad afecta a Android 14, Android 15 y Android 16, por lo que salpica a buena parte del catálogo actual de Xiaomi, Redmi y POCO, que se basa precisamente en estas versiones mediante HyperOS. De ahí que el fabricante haya tenido que reaccionar con rapidez e integrar el parche fechado como 2026‑05‑01 en sus compilaciones.
En la práctica, un ciberdelincuente que logre situarse en el entorno adecuado podría ejecutar procesos maliciosos o tomar cierto control del dispositivo aprovechando esta brecha, sin que el propietario del móvil llegue a percibir nada raro en un primer momento.
El parche de seguridad de mayo en HyperOS: cómo lo está desplegando Xiaomi
Para hacer frente a este problema, Xiaomi ha comenzado a distribuir una actualización de seguridad específica a través de HyperOS, su capa basada en Android. El despliegue se está realizando de forma gradual, siguiendo la política habitual de la marca: primero unos pocos modelos y regiones, y posteriormente una ampliación progresiva al resto.
Las nuevas compilaciones de HyperOS que integran el parche de mayo se están liberando tanto para HyperOS 2 como para HyperOS 3, de manera que no solo los móviles más nuevos quedan protegidos. En algunos casos, además, Google Play puede adelantar mitigaciones parciales mediante Project Mainline, de modo que ciertos parches lleguen antes incluso de que Xiaomi libere la OTA completa.
En Europa, incluida España, el despliegue ya ha comenzado en varias ROM, principalmente en las variantes global, india y europea. Aun así, es posible que tarde días o incluso semanas en llegar a todos los dispositivos previstos, teniendo en cuenta la cantidad de modelos que la compañía tiene en el mercado.
Un aspecto importante es que esta vez la actualización se centra en la seguridad y estabilidad. Xiaomi ha decidido priorizar «cerrar el grifo» de los fallos más serios antes que introducir cambios visuales o funciones nuevas, justo para evitar que la vulnerabilidad pueda explotarse de manera masiva.
Otra vulnerabilidad crítica: CVE-2026-007 y los riesgos en redes WiFi y móviles
Junto al problema de CVE-2026-0073, el parche de mayo también aborda otra vulnerabilidad grave registrada como CVE-2026-007. En este caso, el origen está más ligado al kernel de Linux, del que Android hereda buena parte de su funcionamiento interno.
Este segundo fallo afecta a la gestión de conexiones WiFi y de datos móviles. Si el dispositivo se conecta a una red que procese paquetes maliciosos y el sistema no ha sido actualizado, los atacantes podrían acceder a la información del teléfono antes incluso de que se completen ciertos procesos de autenticación.
Lo delicado del asunto es que no se requiere apenas interacción por parte del usuario: basta con que el móvil se conecte a la red comprometida para quedar expuesto. A partir de ahí, en el peor de los casos, se abre la puerta a que terceros consigan extraer archivos o datos personales sin permiso.
Con el parche de mayo, Xiaomi busca precisamente cerrar la brecha tanto en el ámbito de la conectividad como en el servicio adbd. La actualización endurece la seguridad de esos componentes y ajusta los privilegios asociados, de modo que las aplicaciones y procesos no puedan escalar permisos de forma indebida.
Qué móviles Xiaomi, Redmi y POCO están recibiendo la actualización
Aunque el listado completo se irá ampliando con el paso de las semanas, ya se sabe que varios modelos recientes de las gamas Xiaomi, Redmi y POCO han empezado a recibir el parche en distintas regiones.
En el segmento principal de la marca, algunos de los dispositivos que ya cuentan con la actualización de seguridad de mayo son:
- Xiaomi 15 Ultra
- Xiaomi 15T
- Xiaomi 15T Pro (en determinados mercados)
Dentro del catálogo Redmi, las novedades también han comenzado a llegar a varios modelos con conectividad 5G:
- Redmi 15A 5G
- Redmi 17 5G
- Redmi A7 Pro 5G
- Redmi Pad 2 Pro 5G
En cuanto a POCO, la firma ha incluido en la primera oleada dispositivos de gama accesible, como:
- POCO C85 / POCO C85x (varía según región y denominación comercial)
La compañía ha dejado claro que el despliegue es escalonado, por lo que no todos los usuarios verán la actualización disponible al mismo tiempo, incluso si poseen uno de los teléfonos mencionados. En España y el resto de Europa, lo habitual es que las versiones europeas (EU/EEA) y globales la reciban en primer lugar, seguidas de otras variantes regionales.
Caso especial: los móviles EOL que también reciben parches de seguridad
Más allá de los modelos en pleno ciclo de soporte, en las últimas semanas ha llamado mucho la atención que varios dispositivos ya añadidos a la lista EOL (End of Life) también hayan comenzado a recibir nuevas actualizaciones de HyperOS.
Cuando un móvil pasa oficialmente a EOL, en teoría deja de recibir actualizaciones regulares de sistema y parches mensuales de seguridad. Sin embargo, Xiaomi está aprovechando esta ocasión para lanzar versiones puntuales que corrigen errores importantes de seguridad y estabilidad, incluso en terminales que ya no estaban en el calendario de mantenimiento.
Entre los modelos que están recibiendo este “regalo” inesperado se encuentran teléfonos bastante populares dentro del ecosistema de la marca:
- POCO F4 GT
- POCO F4
- Xiaomi 11i
- Xiaomi 12
- Xiaomi 12 Pro
- Redmi Note 11 Pro+
- Redmi K60e (modelo originalmente orientado al mercado chino)
En todos estos casos, la actualización no introduce grandes cambios visuales ni nuevas funciones, sino que se centra en cerrar vulnerabilidades críticas y mejorar la estabilidad general del sistema. Es una forma de alargar un poco más la vida útil de móviles que aún siguen en manos de muchos usuarios en Europa.
Cómo comprobar si el parche ya está disponible en tu Xiaomi, Redmi o POCO
Si quieres saber si tu móvil ya puede instalar esta actualización, el proceso es bastante sencillo y puede hacerse directamente desde los ajustes del teléfono, sin necesidad de recurrir a herramientas externas ni a un ordenador.
Los pasos generales son los siguientes (puede variar ligeramente según la versión de HyperOS):
- Abre la aplicación «Ajustes» de tu dispositivo.
- Accede al apartado «Sobre el teléfono» o «Información del teléfono».
- Entra en la sección «Xiaomi HyperOS» o «Actualización de software».
- Pulsa en «Buscar actualizaciones» y espera unos segundos a que el sistema compruebe si hay una versión nueva.
Si aparece disponible un nuevo parche de seguridad fechado en mayo de 2026, lo más prudente es instalarlo cuanto antes. Para evitar problemas durante la descarga e instalación, conviene que el móvil tenga al menos un 50 % de batería y esté conectado a una red WiFi fiable en lugar de utilizar los datos móviles.
En algunos casos, si todavía no ha llegado la OTA correspondiente, es posible que veas actualizaciones del sistema de Google Play que ya incluyen mitigaciones parciales. Aunque no sustituyen por completo al parche integrado en HyperOS, sí ayudan a rebajar parte del riesgo mientras Xiaomi termina el despliegue.
Por qué estas actualizaciones de seguridad son tan relevantes ahora
Es frecuente que muchos usuarios dejen pasar meses sin instalar parches cuando ven que la actualización «solo» habla de seguridad y no de nuevas funciones. Sin embargo, los expertos en ciberseguridad insisten en que precisamente estas versiones son las que más influyen en la protección real de nuestros datos.
En el caso de CVE-2026-0073 y CVE-2026-007, estamos ante fallos clasificados como críticos. Una vez que se hacen públicos y comienzan a circular los detalles técnicos, se convierten rápidamente en objetivo prioritario para los atacantes. Eso significa que, con el tiempo, aumenta la probabilidad de que aparezcan intentos de explotación dirigidos a móviles que todavía no hayan sido actualizados.
Por eso, tanto Google como fabricantes como Xiaomi aceleran la distribución de los parches de seguridad mensuales. Aunque a simple vista el teléfono se comporte igual que antes, por debajo se están cerrando puertas que podrían usarse para acceder a información sensible, desde fotografías y documentos hasta datos de acceso a servicios online.
En este contexto, que Xiaomi opte incluso por lanzar correcciones puntuales en dispositivos que ya estaban fuera de su periodo de soporte indica que la empresa prefiere minimizar cualquier posible impacto en la base de usuarios de HyperOS, en lugar de limitarse a cumplir estrictamente con las fechas de EOL marcadas.
Qué puedes hacer si tu Xiaomi aún no ha recibido el parche
Si tu modelo todavía no muestra la actualización, o si se trata de un dispositivo que recibe parches de manera trimestral, hay una serie de medidas básicas que puedes seguir mientras llega la OTA para reducir al máximo los riesgos.
En el apartado de conectividad, es recomendable:
- Evitar conectarse a redes WiFi públicas o abiertas siempre que sea posible.
- Usar una VPN de confianza si necesitas acceder a una red desconocida.
- Desactivar conexiones automáticas a puntos de acceso que no controles.
En cuanto al uso diario del teléfono, merece la pena mantener unas mínimas pautas de seguridad:
- Instalar aplicaciones solo desde Google Play o tiendas oficiales y desconfiar de APKs de origen dudoso.
- Revisar los permisos que conceden las apps, especialmente los relacionados con acceso a archivos, cámara, micrófono o ubicación.
- Mantener actualizado el resto del ecosistema de Google, incluyendo Servicios de Google Play y actualizaciones del sistema de Google Play.
En cualquier caso, aunque estas precauciones ayudan, la medida realmente efectiva es aplicar el parche de seguridad en cuanto esté disponible para tu modelo y región. A partir de ahí, el nivel de exposición frente a las vulnerabilidades conocidas se reduce de forma notable.
El movimiento de Xiaomi al desplegar el parche de mayo de 2026 en buena parte de sus móviles Xiaomi, Redmi y POCO -incluyendo algunos ya considerados EOL- dibuja un escenario en el que la seguridad gana peso frente a las novedades «de escaparate». Para los usuarios en España y en el resto de Europa, la clave pasa por no dejar esta actualización en segundo plano: aunque a simple vista no cambie nada en la interfaz, es la pieza que puede marcar la diferencia entre usar el móvil con relativa tranquilidad o seguir expuesto a fallos tan delicados como CVE-2026-0073 y CVE-2026-007.
