Un grupo de investigadores reveló una nueva clase de ataque llamada Pixnapping, capaz de robar datos sensibles directamente desde la pantalla de tu teléfono Android, incluyendo códigos de autenticación de dos factores (2FA) de Google Authenticator, en menos de 30 segundos.
Este tipo de ciberataque representa una amenaza sin precedentes para la privacidad, ya que puede extraer información visual directamente de las aplicaciones, sin permisos especiales, sin root y sin que el usuario lo note.
En TecnetOne te explicamos cómo funciona este método, qué dispositivos están en riesgo y, sobre todo, cómo puedes protegerte.
¿Qué es Pixnapping?
Pixnapping es una técnica de ataque de canal lateral (side-channel attack) dirigida a dispositivos Android. En lugar de explotar el sistema operativo directamente o atacar las contraseñas del usuario, este método roba los datos visuales que se muestran en la pantalla.
Esto incluye los códigos 2FA generados por aplicaciones como Google Authenticator, mensajes privados en Signal, transacciones de Venmo, correos de Gmail o incluso la ubicación en tiempo real de Google Maps.
El ataque fue presentado por un grupo de investigadores en la conferencia ACM CCS 2025 (Computer and Communications Security), quienes demostraron que Pixnapping puede recuperar datos visuales en menos de 30 segundos, sin necesidad de permisos especiales ni interacción directa del usuario.
También podría interesarte: Ataque AutoSpill: Robo de Credenciales en Contraseñas Android
Cómo funciona el ataque
El ataque Pixnapping aprovecha una combinación de vulnerabilidades en el sistema operativo Android y en las unidades de procesamiento gráfico (GPU) de los teléfonos modernos.
La clave está en un proceso aparentemente inofensivo: el uso del sistema de intents y las ventanas superpuestas transparentes que se utilizan para abrir aplicaciones o mostrar notificaciones.
- El atacante lanza una app maliciosa
La aplicación, aparentemente legítima, utiliza el sistema de “intents” de Android para abrir otra aplicación, como Google Authenticator.
- Crea una capa invisible sobre la app víctima
Al hacerlo, la app maliciosa coloca ventanas transparentes con efectos de desenfoque (blur) sobre la pantalla, aprovechando el motor gráfico SurfaceFlinger, encargado de combinar todas las capas visuales.
- Aprovecha la compresión de la GPU
Aquí ocurre la magia (o el desastre): el atacante analiza los tiempos de renderizado de los píxeles. En chips como el Mali GPU (usado en los Google Pixel y Samsung Galaxy), los píxeles blancos y uniformes se comprimen más rápido que los coloridos.
Midiendo estas diferencias en tiempo real, la app puede reconstruir los colores de cada píxel de la pantalla, lo que le permite “ver” lo que tú estás viendo.
- Extrae los códigos o información sensible
Con este método, los atacantes pueden recuperar los seis dígitos de un código 2FA antes de que caduque, analizando solo cuatro píxeles por número mediante un sistema de reconocimiento óptico adaptado (OCR).
Marco de robo de píxeles (Fuente: Cyber Security News)
Dispositivos y versiones afectadas
El ataque afecta a casi todos los teléfonos Android modernos, especialmente los que usan GPU Mali o similares.
Los modelos en los que se ha probado con éxito incluyen:
- Google Pixel 6, 7, 8 y 9
- Samsung Galaxy S25
- Versiones de Android 13 a 16
Los investigadores advierten que el ataque es tan general que casi todas las aplicaciones de Google Play son potencialmente vulnerables, ya que 96,783 apps analizadas contenían al menos una “actividad exportada” que puede ser aprovechada para iniciar el ataque.
Incluso los navegadores y aplicaciones web están en riesgo: 99.3% de los sitios más visitados pueden ser explotados mediante Pixnapping, lo que deja obsoletos los métodos tradicionales de protección basados en iframes.
¿Por qué es tan peligroso?
Pixnapping representa un salto cualitativo en el robo de información:
- No requiere permisos ni acceso root.
- No deja rastros visibles en el teléfono.
- Puede operar mientras el usuario utiliza el dispositivo normalmente.
Esto significa que una app maliciosa, como una calculadora o un fondo de pantalla “inocente”, podría estar capturando los datos que aparecen en tu pantalla, incluidos los códigos de autenticación temporal (2FA), sin que lo notes.
Además, el ataque elude las protecciones visuales de apps seguras como Signal, que normalmente bloquean las capturas de pantalla, al leer directamente los píxeles renderizados en la GPU.
Cómo respondió Google y qué debes hacer
Google reconoció la vulnerabilidad y la catalogó como de alta severidad (CVE-2025-48561).
La empresa lanzó un parche de seguridad para los dispositivos Pixel en septiembre de 2025, pero el problema no se limita a los teléfonos de Google: el mismo mecanismo afecta a otros fabricantes Android que usan GPUs similares.
Samsung, por su parte, calificó la vulnerabilidad como de baja severidad, argumentando que el ataque requiere condiciones muy específicas. Sin embargo, los expertos en seguridad discrepan: la técnica puede ser replicada fácilmente por desarrolladores con conocimientos avanzados.
Si usas Android, en TecnetOne te recomendamos seguir estos pasos inmediatos:
- Actualiza tu dispositivo
Instala el último parche de seguridad disponible. Los teléfonos Pixel ya cuentan con la corrección de septiembre de 2025.
- Evita instalar aplicaciones fuera de la Play Store
Aunque el ataque no requiere permisos, muchas apps fraudulentas se distribuyen fuera de las tiendas oficiales.
- Revisa los permisos de superposición de pantalla
En los ajustes de Android, desactiva la opción “Mostrar sobre otras apps” para cualquier aplicación sospechosa.
- Usa autenticadores más seguros
Opta por autenticadores físicos (como YubiKey) o aplicaciones que cifren los códigos dentro de entornos protegidos, como Acronis Cyber Protect Mobile, que TecnetOne recomienda para entornos empresariales.
- Monitorea el comportamiento de tu teléfono
Si notas un consumo anormal de batería o ralentizaciones, podría indicar que una app está ejecutando procesos gráficos en segundo plano.
Lo que revela Pixnapping sobre Android
Más allá del caso específico, Pixnapping pone en evidencia un problema estructural en Android: su arquitectura visual basada en capas y composiciones GPU permite que apps aparentemente inofensivas interactúen con otras a través de canales indirectos.
Este diseño, útil para la multitarea, se convierte en una puerta abierta para ataques de canal lateral.
Los investigadores proponen soluciones inspiradas en el modelo web, como limitar las superposiciones transparentes mediante políticas tipo “frame-ancestors” y reforzar el aislamiento gráfico de las aplicaciones sensibles.
Conoce más: Riesgos de Seguridad en Android Económicos
Qué pueden hacer las empresas
Para las organizaciones que gestionan flotas de dispositivos Android, la amenaza es aún más seria.
En TecnetOne recomendamos aplicar medidas a nivel corporativo:
- Implementar políticas MDM (Mobile Device Management) para controlar qué apps pueden instalarse.
- Deshabilitar las superposiciones y permisos de accesibilidad en dispositivos corporativos.
- Auditar las apps internas que usan componentes visuales para asegurar que no exponen actividades exportadas.
- Adoptar soluciones de seguridad integradas, como Acronis Cyber Protect Cloud, que combinan respaldo, monitoreo y detección de anomalías en endpoints móviles.
Conclusión
Pixnapping demuestra que los ataques modernos ya no necesitan vulnerar contraseñas ni explotar malware visible.
Ahora, los hackers pueden robar información observando los píxeles en tu pantalla, un método silencioso y prácticamente invisible.
En TecnetOne, te recordamos que la seguridad digital comienza con la prevención.
Mantén tu sistema actualizado, instala solo aplicaciones confiables y utiliza soluciones de protección que cubran no solo la red, sino también el comportamiento gráfico y visual de tus dispositivos.
El futuro del cibercrimen ya está aquí, y tu pantalla puede ser la próxima ventana abierta al ataque.