La última ronda de parches de Google para Android ha llegado cargada de novedades y, sobre todo, de avisos serios en materia de seguridad. La compañía ha solventado 107 vulnerabilidades en una sola actualización mensual, un volumen considerable que confirma hasta qué punto el ecosistema móvil más usado del planeta está en el punto de mira de atacantes y grupos de espionaje.
Más allá del número, lo realmente preocupante son algunos de los fallos corregidos. Dos vulnerabilidades de día cero en el framework de Android han sido ya explotadas de forma limitada y dirigida, lo que encaja con campañas de vigilancia muy selectivas, posiblemente vinculadas a software espía comercial o actores con importantes recursos. Si tienes un móvil Android relativamente reciente, esta actualización te afecta de lleno.
Qué ha corregido Google en la actualización de diciembre
En el boletín de seguridad de diciembre, Google detalla que se han corregido 107 vulnerabilidades distribuidas entre el framework, el sistema, el kernel y componentes de terceros de código cerrado. Estos componentes pertenecen, entre otros, a fabricantes como Arm, MediaTek, Qualcomm, Imagination Technologies y Unison, que aportan piezas clave al hardware y software de los móviles Android.
Como es habitual, Google ha organizado los parches en dos niveles de actualización diferentes, fechados como 2025-12-01 y 2025-12-05. Este esquema permite a los fabricantes de dispositivos ir aplicando los arreglos más comunes más deprisa, mientras preparan el resto de correcciones específicas para sus modelos.
En la práctica, si tu teléfono muestra un nivel de parche de seguridad de 2025-12-05 o superior, significa que incluye las soluciones a todos estos fallos descritos en el boletín de diciembre. Hasta llegar a ese punto, es posible que sigas expuesto a una parte de las vulnerabilidades, sobre todo a las más recientes o graves. Conviene optimizar Android antes de actualizar para reducir problemas durante el proceso.
Los fallos abarcan todo tipo de impactos, desde divulgación de información sensible y elevación de privilegios hasta errores que permiten provocar una denegación remota de servicio (DoS). Algunos necesitan interacción del usuario o instalación de apps maliciosas; otros, en cambio, pueden explotarse de manera remota sin permisos extra.
Google recuerda también que los fabricantes de móviles reciben la información sobre estas vulnerabilidades al menos un mes antes de la publicación del boletín. Sin embargo, esto no garantiza que todos los modelos reciban el parche al mismo tiempo, ni siquiera que lo reciban, sobre todo en gamas bajas o dispositivos muy antiguos que ya han quedado fuera del ciclo oficial de actualizaciones.
Dos días cero explotados en el framework de Android
Dentro de esta actualización de diciembre destacan especialmente dos vulnerabilidades de día cero que ya estaban siendo aprovechadas en ataques reales antes de hacerse públicas. Ambas residen en el framework de Android, es decir, en la capa de APIs, servicios del sistema y componentes sobre los que se construyen prácticamente todas las aplicaciones.
El framework es una parte crucial del sistema operativo porque proporciona las clases y servicios que permiten a las apps interactuar con el resto de capas de Android: gestión de actividades, vistas, notificaciones, acceso a almacenamiento, red, sensores, y muchas otras funciones. Cualquier fallo en esta capa tiene un alcance potencial enorme, ya que puede ser aprovechado por una app aparentemente legítima para obtener más acceso del debido.
Google ha confirmado que estas dos vulnerabilidades, catalogadas como CVE-2025-48633 y CVE-2025-48572, se han utilizado en ataques limitados y dirigidos. La compañía habla de “explotación limitada y segmentada”, una expresión que suele asociarse con operaciones de espionaje centradas en objetivos muy concretos, más que con campañas masivas de malware.
Diversas fuentes de la comunidad de ciberseguridad señalan que este tipo de fallos encajan muy bien con el modo de operar de proveedores comerciales de spyware como NSO Group, Candiru o Intellexa, que históricamente han aprovechado vulnerabilidades de día cero en plataformas móviles para vigilar a periodistas, activistas o personal de alto perfil.
El primer fallo, CVE-2025-48633, se ha descrito como una vulnerabilidad de divulgación de información en el framework. Aunque Google no ha publicado todavía un análisis técnico en profundidad ni un valor CVSS definitivo, todo apunta a que podría permitir a una aplicación con permisos limitados acceder a datos sensibles en memoria o a información interna del sistema que, en condiciones normales, debería estar protegida.
La segunda vulnerabilidad, CVE-2025-48572, se clasifica como un fallo de elevación de privilegios en el framework. Según algunos análisis técnicos, se origina por una validación incorrecta de entradas dentro de un componente del framework, lo que habilitaría a una app localmente instalada a ejecutar código arbitrario con permisos más altos, con un impacto valorado en un CVSS de 7,4 sobre 10.
La combinación de una vulnerabilidad de escalada de privilegios con otra de filtrado de información es especialmente peligrosa, porque permite encadenar ambos fallos en una cadena de explotación: primero se obtiene información útil para saltarse protecciones, y después se sube el nivel de acceso para tomar control más profundo del dispositivo.
Alcance de los fallos y campañas de espionaje
Google ha indicado que estas dos vulnerabilidades afectan a Android 13, 14, 15 y 16, es decir, a una buena parte del parque de dispositivos activos. El hecho de que se trate de versiones modernas confirma que no hablamos de sistemas obsoletos, sino de terminales actuales, muchos de ellos todavía en su ciclo principal de soporte.
En el propio lenguaje empleado por la compañía se alude a un “exploit limitado y específico”, una fórmula que, según expertos citados por medios especializados en ciberseguridad, Google suele utilizar cuando detecta que el día cero se está usando en operaciones de vigilancia discretas, a menudo respaldadas por estados o por empresas que venden herramientas de intrusión al mejor postor.
En el pasado se ha visto cómo grupos de este tipo han explotado vulnerabilidades parecidas en Android e iOS para infectar teléfonos con spyware avanzado, capaz de acceder a mensajes, llamadas, ubicación, micrófono o cámara sin que el usuario tenga apenas indicios de lo que ocurre.
El organismo de ciberseguridad de Estados Unidos, la CISA (Cybersecurity and Infrastructure Security Agency), ha reaccionado con rapidez incluyendo tanto CVE-2025-48572 como CVE-2025-48633 en su catálogo de vulnerabilidades explotadas conocidas (KEV). Esto implica que, para las agencias federales civiles de ese país, es obligatorio aplicar los parches antes de una fecha límite concreta, en este caso el 23 de diciembre de 2025.
Esta incorporación al catálogo KEV es una señal clara de que las autoridades consideran estos fallos como riesgos activos, no meramente teóricos. Las agencias afectadas están obligadas a actualizar sus dispositivos Android o tomar medidas compensatorias, como retirar de servicio aquellos modelos que no puedan ser actualizados.
Otras vulnerabilidades críticas: denegación de servicio y kernel
Aunque los dos días cero se llevan los titulares, no son las únicas vulnerabilidades graves que se corrigen en este boletín. Google también ha parcheado una vulnerabilidad crítica identificada como CVE-2025-48631 en el framework de Android, capaz de provocar una denegación de servicio remota (DoS) sin que se necesiten permisos de ejecución adicionales.
Una denegación de servicio remota puede no sonar tan vistosa como una escalada de privilegios, pero puede dejar un dispositivo inservible temporalmente, reiniciándolo en bucle o haciendo que ciertos servicios esenciales fallen. En contextos corporativos o en infraestructuras críticas, este tipo de ataques puede tener un impacto operativo importante.
El boletín refleja también cuatro vulnerabilidades críticas adicionales en el kernel de Android, asociadas a las referencias CVE-2025-48623, CVE-2025-48624, CVE-2025-48637 y CVE-2025-48638. Todas ellas se consideran fallos de elevación de privilegios, lo que significa que podrían permitir a un atacante con acceso limitado al sistema obtener un control casi total del dispositivo.
El kernel es la pieza central del sistema operativo: gestiona la memoria, los procesos, el acceso al hardware y las comunicaciones internas. Un exploit en el kernel suele dar a los atacantes un poder enorme, porque les permite escapar de las restricciones que tienen las aplicaciones normales y operar con privilegios de sistema.
Estos arreglos llegan pocos meses después de que Google solucionara dos vulnerabilidades más que estaban siendo explotadas en la naturaleza, una en el kernel de Linux (CVE-2025-38352, con una puntuación CVSS de 7,4) y otra en Android Runtime (CVE-2025-48543, también con 7,4). En ambos casos, el resultado final era la posibilidad de escalar privilegios localmente.
Este patrón de parches encadenados deja claro que los atacantes llevan tiempo centrando sus esfuerzos en partes muy profundas del sistema, no solo en las capas superficiales como el navegador o las apps. Los fallos en kernel, runtime y framework permiten campañas de intrusión muy sofisticadas y difíciles de detectar para el usuario medio.
Cómo saber si tu móvil está protegido
Si usas un dispositivo Android y te preocupa este aluvión de vulnerabilidades, el primer paso es comprobar tu nivel de parche y versión del sistema. Puedes hacerlo desde los ajustes del teléfono, en los apartados de información del dispositivo y actualizaciones de software, aunque la ruta concreta puede cambiar ligeramente según el fabricante y la capa de personalización.
En la mayoría de móviles, el camino estándar suele ser ir a Ajustes > Acerca del teléfono (o Acerca del dispositivo) y, dentro de ese menú, buscar la sección de Actualización de software o Actualizaciones del sistema. Ahí verás tanto la versión de Android instalada como el nivel de parche de seguridad y, en algunos casos, la versión del sistema de Google Play.
Si en ese apartado aparece un nivel de parche igual o posterior a 2025-12-05, significa que ya tienes las correcciones de todas las vulnerabilidades incluidas en el boletín de diciembre, incluidos los días cero explotados. Si la fecha es anterior, sigues necesitando recibir alguno de los parches.
Tu móvil debería mostrar una notificación automática cuando haya una actualización disponible, pero si llevas tiempo sin actualizar o has pospuesto varios avisos, conviene que entres manualmente en la sección de actualizaciones y pulses el botón de buscar o descargar. En muchos casos, basta con estar conectado a una red WiFi y tener suficiente batería para iniciar el proceso. Y, si necesitas investigar problemas, aprende a acceder a los registros de fallos para obtener más detalles.
Conviene recordar que, aunque Google publique el boletín y ponga los parches a disposición de los fabricantes, son las marcas las responsables de empaquetar y distribuir las actualizaciones a cada modelo. Esto implica que la velocidad y frecuencia de los parches puede variar mucho entre un gama alta reciente y un modelo de entrada con varios años a sus espaldas.
Buenas prácticas para evitar ataques aunque haya vulnerabilidades
Incluso cuando el sistema se mantiene actualizado, los atacantes suelen buscar vías de entrada adicionales, aprovechando descuidos del usuario. La instalación de aplicaciones maliciosas es una de las puertas de entrada más habituales, sobre todo cuando se descargan desde fuentes poco fiables o a través de enlaces recibidos por mensajería. Por eso puede ser útil bloquear la instalación de apps en tu dispositivo.
Una recomendación básica es limitar la instalación de apps a las tiendas oficiales (como Google Play o la tienda propia del fabricante) siempre que sea posible. Esto no garantiza al 100 % que no vaya a colarse una app maliciosa, pero reduce enormemente el riesgo frente a la descarga directa de APKs desde webs desconocidas.
Antes de instalar aplicaciones sensibles, como bancos, monederos de criptomonedas o plataformas de comercio electrónico, merece la pena revisar con calma el nombre del desarrollador, el número de descargas y las reseñas de otros usuarios. Desconfiar de un único enlace promocional que llega por SMS, correo o mensajería y buscar manualmente la app en la tienda es un pequeño gesto que puede evitar muchos sustos.
También es recomendable vigilar los permisos que solicita cada aplicación. Si una app de linterna pide acceso a SMS, contactos o cámara, algo no cuadra. Permisos especialmente delicados como accesibilidad, acceso a mensajes, llamadas o micrófono deberían concederse con mucha cautela, solo a apps en las que confíes plenamente.
Como capa extra de protección, puede ser útil contar con una solución de seguridad móvil. Herramientas de seguridad reputadas, como las de empresas especializadas en antimalware, son capaces de detectar comportamientos sospechosos, aplicaciones maliciosas y conexiones peligrosas. No son una solución mágica, pero sí una ayuda adicional frente a amenazas que aprovechan vulnerabilidades del sistema o de las apps.
El papel de Google, los fabricantes y los usuarios
La publicación de un boletín de seguridad con más de cien fallos arreglados refleja tanto la magnitud de los ataques actuales como la capacidad de respuesta del ecosistema Android. Google coordina la investigación de vulnerabilidades, desarrolla los parches y los distribuye a los fabricantes, pero el tiempo que tardan en llegar a cada usuario sigue dependiendo de múltiples factores.
Los fabricantes de dispositivos tienen que adaptar y probar los parches en sus capas de personalización, integrarlos con drivers de terceros (como los de los chips de Qualcomm, MediaTek o Arm) y asegurarse de que la actualización no rompe funciones clave. Este proceso puede ser relativamente rápido en gamas altas de marcas punteras y mucho más lento, o inexistente, en terminales económicos.
Por su parte, los usuarios juegan un papel crucial al no posponer indefinidamente las actualizaciones. Es tentador ignorar el aviso de “hay una nueva versión disponible” por miedo a cambios en la interfaz o a que el móvil vaya más lento, pero cuando se trata de parches de seguridad el riesgo de quedarse atrás es mucho mayor que las molestias puntuales de la instalación.
En paralelo a estas actualizaciones mensuales, Google también impulsa correcciones a través de Google Play System Update, que permite parchear ciertos componentes sin depender tanto de los fabricantes. Sin embargo, no todo se puede arreglar por esa vía, y muchos de los fallos descritos en este boletín siguen requiriendo una actualización completa del sistema.
La seguridad de un dispositivo Android es el resultado de tres engranajes: el trabajo de Google y de los investigadores, el compromiso de los fabricantes y la actitud del propio usuario. Cuando cualquiera de esos engranajes falla, se abren huecos que los atacantes no tardan en aprovechar.
Todo este aluvión de parches de diciembre demuestra que, aunque el ecosistema Android es complejo y siempre habrá vulnerabilidades, mantener el móvil al día, instalar solo aplicaciones de confianza, revisar permisos y estar atento a las alertas oficiales sigue siendo la mejor combinación para viajar algo más tranquilo por el mundo digital, incluso sabiendo que grupos de espionaje y ciberdelincuentes no van a dejar de buscar nuevos agujeros que explotar.
