Los smartphones se han convertido en el centro de tu vida digital: allí guardas mensajes, contraseñas, fotos, datos bancarios y hasta documentos de trabajo. Por eso, cuando una vulnerabilidad crítica aparece en un sistema operativo como OxygenOS, de OnePlus, el riesgo no es menor. Y justo eso es lo que acaba de salir a la luz: un fallo que deja a tus SMS expuestos a aplicaciones maliciosas, sin que necesiten permisos especiales ni tu consentimiento.
En TecnetOne queremos que entiendas qué está pasando, cómo puede afectarte y qué pasos puedes tomar para minimizar el riesgo mientras la compañía corrige el problema.
La vulnerabilidad, registrada bajo el código CVE-2025-10184, afecta a varias versiones de OxygenOS (desde la 12 hasta la más reciente, la 15, basada en Android 15). Fue descubierta por investigadores de Rapid7, una reconocida empresa de ciberseguridad, y hasta el momento OnePlus no ha publicado un parche que solucione el error.
Lo más grave es que, a pesar de que la falla fue reportada de manera responsable, la compañía no ha respondido de forma oficial a los investigadores. Por ello, Rapid7 decidió publicar los detalles técnicos y hasta un proof-of-concept (PoC) que demuestra cómo un atacante podría aprovecharse de la vulnerabilidad.
Todo comenzó cuando OnePlus decidió modificar el paquete de telefonía estándar de Android para añadir proveedores de contenido adicionales, como:
El error está en que estos proveedores no tienen configurado el permiso de escritura correcto para READ_SMS. Esto significa que cualquier aplicación instalada en tu teléfono puede acceder por defecto a estos datos, incluso sin haber solicitado permisos de SMS.
Pero eso no es todo. Rapid7 encontró que las entradas de usuario no se sanitizan, lo que abre la puerta a ataques de inyección SQL a ciegas. Dicho en simple: un atacante podría reconstruir el contenido de tus mensajes SMS carácter por carácter desde la base de datos del dispositivo.
Lee más: Apps crackeadas de macOS vacían carteras digitales vía DNS
Para que un atacante logre robar tus SMS, deben cumplirse ciertos requisitos:
Con esas condiciones cumplidas, es posible extraer poco a poco tus mensajes, incluyendo:
Los investigadores probaron con éxito el exploit en modelos como el OnePlus 8T y el OnePlus 10 Pro, pero advirtieron que la lista no es exhaustiva.
En realidad, como el fallo afecta a un componente central del sistema, es muy probable que otros dispositivos que usen OxygenOS 12, 13, 14 y 15 también estén en riesgo. No parece ser un problema de hardware, sino de software.
Proveedores adicionales que OnePlus agregó a su paquete de telefonía (Fuente: Rapid7)
Si usas un OnePlus con las versiones vulnerables de OxygenOS, cualquier aplicación maliciosa instalada en tu teléfono podría:
En la práctica, este tipo de vulnerabilidades abre la puerta a fraudes financieros, robo de identidad y accesos no autorizados a tus servicios más críticos.
Lo más preocupante no es solo la falla, sino la falta de respuesta de la compañía. Hasta el momento, OnePlus no ha emitido comunicados oficiales ni ha liberado actualizaciones para cerrar el agujero de seguridad.
Esto pone a los usuarios en una situación complicada: saben que están en riesgo, pero dependen completamente de que el fabricante publique un parche.
Explotación PoC para inferir el contenido de SMS (Fuente: Rapid7)
Mientras OnePlus prepara una actualización (esperemos que pronto), hay varias medidas que puedes tomar para reducir tu exposición al riesgo:
En TecnetOne vemos esta vulnerabilidad como un ejemplo claro de lo frágil que puede ser la seguridad de tus dispositivos cuando los fabricantes modifican componentes críticos de Android sin reforzar los controles adecuados.
También nos recuerda que los SMS ya no son un canal seguro para la autenticación, y que cada vez más expertos recomiendan migrar a métodos más robustos como MFA basado en apps o llaves de seguridad físicas.
Títulos relacionados: Malware para Android Detectado en Amazon Appstore en app de Salud
El fallo CVE-2025-10184 en OxygenOS es un recordatorio de que la ciberseguridad debe estar siempre en el centro de tu estrategia digital. Aunque el problema afecta directamente a usuarios de OnePlus, el impacto puede sentirse mucho más allá, ya que los SMS siguen siendo usados en procesos críticos en banca, redes sociales y servicios corporativos.
Mientras esperas que OnePlus lance un parche, tu mejor defensa es la prevención: instala solo apps confiables, limita el uso de SMS para autenticación y mantente alerta ante movimientos sospechosos en tus cuentas.
En TecnetOne estamos convencidos de que una buena estrategia de seguridad empieza por la conciencia y la acción temprana. Y este caso es la prueba perfecta de por qué no puedes bajar la guardia en el mundo digital.