La Falla en OnePlus que Permite a Apps Maliciosas Acceder a tus SMS
Levi Yoris 09/25/2025 Del Mito al Control
3 Minutos

Los smartphones se han convertido en el centro de tu vida digital: allí guardas mensajes, contraseñas, fotos, datos bancarios y hasta documentos de trabajo. Por eso, cuando una vulnerabilidad crítica aparece en un sistema operativo como OxygenOS, de OnePlus, el riesgo no es menor. Y justo eso es lo que acaba de salir a la luz: un fallo que deja a tus SMS expuestos a aplicaciones maliciosas, sin que necesiten permisos especiales ni tu consentimiento.

En TecnetOne queremos que entiendas qué está pasando, cómo puede afectarte y qué pasos puedes tomar para minimizar el riesgo mientras la compañía corrige el problema.

 

¿Qué pasó con OnePlus?

 

La vulnerabilidad, registrada bajo el código CVE-2025-10184, afecta a varias versiones de OxygenOS (desde la 12 hasta la más reciente, la 15, basada en Android 15). Fue descubierta por investigadores de Rapid7, una reconocida empresa de ciberseguridad, y hasta el momento OnePlus no ha publicado un parche que solucione el error.

Lo más grave es que, a pesar de que la falla fue reportada de manera responsable, la compañía no ha respondido de forma oficial a los investigadores. Por ello, Rapid7 decidió publicar los detalles técnicos y hasta un proof-of-concept (PoC) que demuestra cómo un atacante podría aprovecharse de la vulnerabilidad.

 

¿Dónde está el problema técnico?

 

Todo comenzó cuando OnePlus decidió modificar el paquete de telefonía estándar de Android para añadir proveedores de contenido adicionales, como:

 

  1. PushMessageProvider

 

  1. PushShopProvider

 

  1. ServiceNumberProvider

 

El error está en que estos proveedores no tienen configurado el permiso de escritura correcto para READ_SMS. Esto significa que cualquier aplicación instalada en tu teléfono puede acceder por defecto a estos datos, incluso sin haber solicitado permisos de SMS.

Pero eso no es todo. Rapid7 encontró que las entradas de usuario no se sanitizan, lo que abre la puerta a ataques de inyección SQL a ciegas. Dicho en simple: un atacante podría reconstruir el contenido de tus mensajes SMS carácter por carácter desde la base de datos del dispositivo.

 

Lee más: Apps crackeadas de macOS vacían carteras digitales vía DNS

 

Cómo se puede explotar

 

Para que un atacante logre robar tus SMS, deben cumplirse ciertos requisitos:

 

  1. La tabla de SMS del sistema debe contener al menos un registro.

 

  1. El proveedor debe permitir insertar filas falsas, lo que facilitaría el ataque si la tabla estuviera vacía.

 

  1. La tabla sms debe estar en el mismo archivo de base de datos SQLite para que la consulta inyectada pueda hacer referencia a ella.

 

Con esas condiciones cumplidas, es posible extraer poco a poco tus mensajes, incluyendo:

 

  1. Texto completo de los SMS.

 

  1. Metadatos como remitente, número de teléfono y fecha de recepción.

 

Dispositivos afectados

 

Los investigadores probaron con éxito el exploit en modelos como el OnePlus 8T y el OnePlus 10 Pro, pero advirtieron que la lista no es exhaustiva.

En realidad, como el fallo afecta a un componente central del sistema, es muy probable que otros dispositivos que usen OxygenOS 12, 13, 14 y 15 también estén en riesgo. No parece ser un problema de hardware, sino de software.

 

Extra providers OnePlus added on its Telephony package

Proveedores adicionales que OnePlus agregó a su paquete de telefonía (Fuente: Rapid7)

 

¿Qué impacto puede tener en ti?

 

Si usas un OnePlus con las versiones vulnerables de OxygenOS, cualquier aplicación maliciosa instalada en tu teléfono podría:

 

  1. Leer tus mensajes SMS sin permiso.

 

  1. Obtener códigos de verificación enviados por tu banco, tu correo o redes sociales.

 

  1. Suplantar tu identidad o acceder a tus cuentas online.

 

  1. Vender esa información en foros clandestinos de la dark web.

 

En la práctica, este tipo de vulnerabilidades abre la puerta a fraudes financieros, robo de identidad y accesos no autorizados a tus servicios más críticos.

 

El silencio de OnePlus

 

Lo más preocupante no es solo la falla, sino la falta de respuesta de la compañía. Hasta el momento, OnePlus no ha emitido comunicados oficiales ni ha liberado actualizaciones para cerrar el agujero de seguridad.

Esto pone a los usuarios en una situación complicada: saben que están en riesgo, pero dependen completamente de que el fabricante publique un parche.

 

PoC exploit to infer SMS content

Explotación PoC para inferir el contenido de SMS (Fuente: Rapid7)

 

Qué puedes hacer mientras tanto

 

Mientras OnePlus prepara una actualización (esperemos que pronto), hay varias medidas que puedes tomar para reducir tu exposición al riesgo:

 

  1. Instala solo apps oficiales: descarga aplicaciones únicamente desde Google Play o fuentes verificadas. Evita tiendas de terceros.

 

  1. Revisa los permisos: aunque esta vulnerabilidad se salta el control, sigue siendo recomendable limitar los permisos que concedes.

 

  1. Activa la autenticación multifactor (MFA): no dependas solo de SMS para validar accesos. Usa aplicaciones como Google Authenticator o Microsoft Authenticator.

 

  1. Monitorea tus cuentas: revisa con frecuencia movimientos en tu banca online, correos y redes sociales.

 

  1. Aplica parches de seguridad generales: mantén tu sistema y todas tus apps actualizadas.

 

Lo que nos enseña este caso

 

En TecnetOne vemos esta vulnerabilidad como un ejemplo claro de lo frágil que puede ser la seguridad de tus dispositivos cuando los fabricantes modifican componentes críticos de Android sin reforzar los controles adecuados.

También nos recuerda que los SMS ya no son un canal seguro para la autenticación, y que cada vez más expertos recomiendan migrar a métodos más robustos como MFA basado en apps o llaves de seguridad físicas.

 

Títulos relacionados: Malware para Android Detectado en Amazon Appstore en app de Salud

 

Conclusión

 

El fallo CVE-2025-10184 en OxygenOS es un recordatorio de que la ciberseguridad debe estar siempre en el centro de tu estrategia digital. Aunque el problema afecta directamente a usuarios de OnePlus, el impacto puede sentirse mucho más allá, ya que los SMS siguen siendo usados en procesos críticos en banca, redes sociales y servicios corporativos.

Mientras esperas que OnePlus lance un parche, tu mejor defensa es la prevención: instala solo apps confiables, limita el uso de SMS para autenticación y mantente alerta ante movimientos sospechosos en tus cuentas.

En TecnetOne estamos convencidos de que una buena estrategia de seguridad empieza por la conciencia y la acción temprana. Y este caso es la prueba perfecta de por qué no puedes bajar la guardia en el mundo digital.

Tag:

Del Mito al Control

Scattered Spider: La Detención de un Sospechoso

Artículo Anterior

Acronis Cyber Protect Destaca en Prueba AV-TEST de Amenazas Avanzadas

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, Del Mito al Control, Ciberespionaje
Levi Yoris 09/26/2025

Ciberespionaje a Empresarios, Políticos y Personas de Interés

Quizá recuerdes el escándalo del spyware Pegasus, cuando se descubrió que los móviles de líderes

Leer más
Ciberseguridad, Ciberataque, Del Mito al Control
Alexander Chapellin 09/25/2025

Scattered Spider: La Detención de un Sospechoso

Algunos grupos logran hacerse un nombre propio por el nivel de impacto de sus ataques. Ese es el

Leer más
Ciberseguridad, Malware, Ciberataque, Del Mito al Control
Alexander Chapellin 09/24/2025

Nuevo Troyano RatOn en Android Puede Vacíar tus Cuentas Bancarias

Desde TecnetOne alertamos sobre una nueva y peligrosa amenaza que afecta a usuarios de Android: se

Leer más