Google parcha dos fallos críticos en Android explotados por hackers

Las vulnerabilidades permitían ataques remotos sin interacción del usuario. La actualización corrige errores usados contra activistas y detectados por Google y Amnesty International. Los fabricantes deben implementar los parches en sus dispositivos.

«Agujeros de seguridad en el corazón de Android»

Google confirmó el lunes 8 de abril que dos fallos —CVE-2024-53197 y CVE-2024-53150— estaban siendo explotados de forma «limitada y dirigida». Uno de ellos, identificado por Amnesty International, fue utilizado por autoridades serbias con tecnología de Cellebrite para hackear el teléfono de un estudiante activista. El segundo afectaba al núcleo del sistema operativo.

¿Cómo funcionaban los ataques?

La vulnerabilidad más grave permitía «escalada de privilegios remota sin requerir interacción del usuario», según Google. Es decir, los hackers podían tomar el control del dispositivo sin que la víctima hiciera clic en ningún enlace o archivo.

Respuesta coordinada

Google liberó parches en código abierto en 48 horas y notificó a los fabricantes con un mes de antelación. Sin embargo, la efectividad depende de que cada marca actualice sus dispositivos, dado el modelo fragmentado de Android.

De activistas a tu bolsillo

El caso documentado por Amnesty expone cómo herramientas como las de Cellebrite —diseñadas para fuerzas del orden— pueden ser usadas contra objetivos civiles. La ONG no proporcionó más detalles sobre otros posibles afectados.

Actualizar o arriesgarse

La corrección llega en un contexto de aumento de ataques dirigidos a móviles. Aunque Google no especificó marcas o modelos vulnerables, recomienda a todos los usuarios instalar las últimas actualizaciones de seguridad.