El ecosistema Android vuelve a enfrentarse a un nuevo desafío de seguridad. Google ha alertado de que una vulnerabilidad recientemente descubierta en chips de Qualcomm está siendo explotada en ataques selectivos contra dispositivos Android vulnerables. El fallo, identificado como CVE-2026-21385, aparece en el boletín de seguridad mensual publicado por Google el 2 de marzo y ha llamado la atención de los especialistas en ciberseguridad por su posible uso en operaciones dirigidas.
El informe incluye más de 100 vulnerabilidades (CVE) que afectan a diferentes componentes del sistema operativo. Sin embargo, dos destacan especialmente por su gravedad y potencial impacto: la citada vulnerabilidad en chips Qualcomm y un fallo crítico de escalada de privilegios en el propio sistema Android.
Un fallo en chips Qualcomm bajo explotación limitada
La vulnerabilidad CVE-2026-21385 afecta al kernel gráfico de Qualcomm, un componente fundamental en numerosos chipsets utilizados por fabricantes de teléfonos Android. Según la información disponible, el problema se origina en un desbordamiento de enteros (integer overflow) que puede provocar corrupción de memoria durante la asignación de recursos.
Qualcomm describe el fallo como un problema de “corrupción de memoria al utilizar alineamientos para la asignación de memoria”, lo que puede permitir a un atacante manipular el comportamiento del sistema si logra explotarlo correctamente. La vulnerabilidad ha recibido una puntuación CVSS de 7,8, considerada de gravedad alta.
El aspecto más preocupante es que Google ha señalado que existen “indicaciones de explotación limitada y dirigida” de esta vulnerabilidad. Este tipo de lenguaje suele utilizarse cuando los ataques detectados no forman parte de campañas masivas, sino de operaciones altamente selectivas.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha añadido el fallo a su catálogo de vulnerabilidades explotadas activamente (Known Exploited Vulnerabilities, KEV), lo que indica que ya existen pruebas de su utilización en escenarios reales.
Un segundo fallo crítico en Android
Además del problema en Qualcomm, el boletín de marzo incluye otro fallo especialmente relevante: CVE-2026-0047, una vulnerabilidad crítica en el componente System de Android.
Este error permite escalada local de privilegios, lo que podría derivar en ejecución remota de código sin requerir permisos adicionales ni interacción del usuario. El fallo se debe a una verificación de permisos ausente en el método dumpBitmapsProto dentro del archivo ActivityManagerService.java.
Google advierte que la gravedad del problema depende de las protecciones del sistema activadas en cada dispositivo por lo que es importante consultar a fabricantes. En entornos donde las mitigaciones de seguridad estén desactivadas o logren ser sorteadas, el impacto podría ser significativo.
Sin embargo, los expertos creen que este fallo probablemente no se utilice de forma aislada, sino como parte de ataques encadenados.
El problema estructural de los parches en Android
Aunque ya existen parches para ambas vulnerabilidades, el proceso de actualización en el ecosistema Android sigue siendo complejo. Qualcomm ha confirmado que las correcciones para CVE-2026-21385 ya han sido distribuidas a los fabricantes de dispositivos (OEM), con la recomendación de implementarlas lo antes posible.
Por su parte, el parche para CVE-2026-0047 está disponible a través del Android Open Source Project (AOSP).
El problema es que los usuarios finales dependen de que los fabricantes adapten y distribuyan esas actualizaciones para cada modelo concreto de teléfono. Este proceso puede tardar semanas o incluso meses, dejando a millones de dispositivos potencialmente expuestos durante ese tiempo.
Ante esta situación, Qualcomm ha instado a los usuarios a consultar con el fabricante de su dispositivo para conocer el estado de los parches.
El caso vuelve a evidenciar uno de los mayores retos de seguridad del ecosistema Android: la fragmentación del proceso de actualización, que dificulta la respuesta rápida frente a vulnerabilidades críticas, especialmente cuando ya están siendo explotadas en ataques reales.
