Una nueva técnica de ataque bautizada como Pixnapping ha puesto la lupa sobre la seguridad de Android: permite a apps maliciosas deducir lo que se muestra en pantalla y capturar códigos de autenticación en dos pasos (2FA), mensajes y otros datos sensibles en cuestión de segundos.
Lo más preocupante es que funciona sin pedir permisos especiales, se apoya en APIs legítimas del sistema y aprovecha un canal lateral gráfico para reconstruir, píxel a píxel, información visible en el dispositivo, incluso de apps que no son del navegador.
Qué es Pixnapping y por qué importa
Pixnapping es un ataque de “robo de píxeles” capaz de inferir el contenido de áreas concretas de la pantalla y, con ello, extraer datos sensibles como códigos 2FA, fragmentos de Google Maps, mensajes o correos electrónicos.
Los autores destacan que la técnica esquiva mitigaciones habituales de navegadores y alcanza aplicaciones nativas, ampliando notablemente la superficie de ataque frente a métodos de captura tradicionales.
Cómo funciona paso a paso
El ataque combina APIs de Android con un canal lateral en la GPU para medir sutiles efectos de renderizado y compresión, reconstruyendo después la información objetivo.
- La app maliciosa induce la visualización de la app víctima (p. ej., el generador de códigos 2FA) y selecciona las áreas críticas en pantalla.
- Superpone actividades semitransparentes y manipula el pipeline gráfico para aislar píxeles concretos y medir tiempos de procesamiento.
- Con esas mediciones, infiere el color de cada píxel y reconstruye el texto final con técnicas de OCR.
En términos prácticos, el software del atacante va “barriendo” la zona donde se pintan los dígitos y, a partir de la latencia de renderizado, deduce si hay contenido y cuál es, sin necesidad de capturas de pantalla convencionales.
Dispositivos y versiones afectadas
Los investigadores verificaron el ataque en Google Pixel 6, 7, 8 y 9, además del Samsung Galaxy S25, ejecutando Android 13, 14, 15 y 16, respectivamente.
El equipo —con participación de UC Berkeley, Universidad de Washington, UC San Diego y Carnegie Mellon— señala que los mecanismos explotados están muy extendidos en el ecosistema Android, por lo que otras marcas podrían ser susceptibles con adaptaciones.
Eficacia medida en pruebas
Pixnapping consiguió recuperar códigos 2FA de seis dígitos en distintos modelos con tasas de éxito del 73% (Pixel 6), 53% (Pixel 7), 29% (Pixel 8) y 53% (Pixel 9).
El tiempo medio para extraer un código completo fue de 14,3 s en Pixel 6; 25,8 s en Pixel 7; 24,9 s en Pixel 8; y 25,3 s en Pixel 9, dentro de la ventana típica de validez de 30 segundos de muchos 2FA.
Los secretos que no se muestran en pantalla (por ejemplo, claves almacenadas internamente) quedan fuera del alcance, pero información que permanece visible más de unos segundos —como frases semilla o timelines de ubicación— es especialmente vulnerable.
Impacto y objetivos potenciales
Entre las apps y servicios más expuestos figuran los autenticadores (como Google Authenticator), banca y finanzas, mensajería privada, correo electrónico y datos de localización.
La técnica es especialmente peligrosa porque puede venir encapsulada en una app aparentemente inofensiva, que no delata permisos sospechosos y actúa en silencio sobre lo que la víctima ve en pantalla.
Respuesta de Google y estado del parche
Google asignó el identificador CVE-2025-48561 (CVSS 5,5) y publicó una mitigación parcial en el boletín de seguridad de septiembre, con otra corrección adicional prevista para diciembre.
Según los investigadores, la solución inicial —que limitaba, entre otros, cuántas actividades podía difuminar una app— fue eludida por una variante del ataque, por lo que siguen coordinándose con Google y Samsung para desplegar defensas más robustas; por ahora, no hay indicios de explotación a gran escala.
Recomendaciones para usuarios y desarrolladores
Para usuarios: mantener el teléfono actualizado, evitar instalar apps de orígenes no confiables y reducir al mínimo el tiempo que información sensible permanece visible en pantalla.
- Siempre que sea posible, optar por FIDO2/WebAuthn (llaves de seguridad, autenticación basada en hardware) en lugar de códigos 2FA basados en apps.
- No mostrar ni fotografiar frases de recuperación o credenciales en dispositivos conectados.
- Revisar permisos y comportamiento de apps que muestren superposiciones persistentes.
Para startups y equipos de producto: auditar los flujos de autenticación, minimizar la exposición en UI de datos sensibles y evaluar métodos alternativos de verificación que no dependan de mostrar secretos efímeros en pantalla.
Lo que queda por resolver
Los expertos anticipan que un arreglo completo podría exigir cambios profundos en el pipeline gráfico y en cómo Android permite dibujar y superponer contenido entre apps.
Hasta que lleguen parches de plataforma más contundentes, conviene asumir que todo lo que se muestra en pantalla durante varios segundos puede ser inferido por un atacante con los medios adecuados.
Pixnapping destapa un vector de riesgo que afecta al corazón de la experiencia en Android: lo que se ve en pantalla. Con tasas de éxito relevantes y tiempos dentro de la ventana de uso de los códigos 2FA, la combinación de mitigaciones del sistema, buenas prácticas (reducir exposición en pantalla) y autenticación resistente al phishing (FIDO2/WebAuthn) se perfila como la vía más sensata mientras Google afina sus parches.
