Qualcomm, uno de los principales fabricantes de chips a nivel mundial, ha lanzado actualizaciones de seguridad para solucionar tres vulnerabilidades críticas en sus unidades de procesamiento gráfico (GPU) Adreno. Lo preocupante: estas fallas ya están siendo aprovechadas en ataques dirigidos.
¿Qué pasó?
La compañía confirmó que tres fallos de tipo “zero-day” —es decir, vulnerabilidades que eran desconocidas por el fabricante al momento de ser explotadas— afectan a decenas de dispositivos con chips Qualcomm y que están siendo activamente utilizados por atacantes para comprometer la seguridad de los usuarios.
Los problemas fueron detectados en el controlador de las GPUs Adreno, muy comunes en smartphones Android. Las fallas han sido clasificadas como:
- Críticas:
- CVE-2025-21479
- CVE-2025-21480
Ambas permiten ejecutar comandos no autorizados que pueden causar corrupción de memoria.
- Alta gravedad:
- CVE-2025-27038
Esta permite a los atacantes explotar un error de tipo use-after-free en el navegador Chrome al procesar gráficos, también generando corrupción de memoria.
- CVE-2025-27038
Estos fallos fueron reportados por el equipo de seguridad de Android y están relacionados con el uso de las GPU para ejecutar código malicioso sin autorización.
¿Por qué es importante?
Según el grupo de análisis de amenazas de Google (TAG), ya existen indicios claros de que estas vulnerabilidades están siendo utilizadas de forma limitada pero dirigida, es decir, en ataques enfocados a objetivos específicos.
Qualcomm ya distribuyó los parches a los fabricantes de dispositivos (OEMs) desde mayo, junto con una recomendación urgente de aplicar las actualizaciones cuanto antes.
No es un caso aislado
Este no es el primer incidente de este tipo para Qualcomm. En los últimos años, sus chipsets han estado en la mira de atacantes por vulnerabilidades que pueden dar acceso a mensajes, registros de llamadas, fotos e incluso escuchas en tiempo real.
Entre otros casos recientes:
- En mayo también se corrigió un fallo (CVE-2024-53026) que permitía a atacantes no autenticados acceder a información confidencial a través de llamadas VoLTE o VoWiFi maliciosas.
- En octubre pasado, otro zero-day (CVE-2024-43047) fue utilizado por autoridades en Serbia, junto con herramientas de Cellebrite, para desbloquear teléfonos de periodistas y activistas.
- En investigaciones relacionadas, Google encontró el spyware NoviSpy, capaz de instalarse a nivel del kernel tras evadir los mecanismos de seguridad de Android.
¿Qué deben hacer las empresas?
Si tu organización gestiona flotas de dispositivos Android con chipsets Qualcomm (por ejemplo, en áreas de logística, atención al cliente o ventas), es crucial verificar con los fabricantes si el parche ya está disponible y aplicar las actualizaciones de seguridad sin demora.
Además, considera:
- Reforzar políticas de actualización y control de dispositivos móviles.
- Auditar regularmente las versiones de firmware y parches de seguridad.
- Implementar soluciones de EDR móvil y monitoreo de comportamiento anómalo.
Conclusión
Este nuevo incidente vuelve a recordarnos que la seguridad en dispositivos móviles —especialmente en entornos empresariales— debe tomarse con la misma seriedad que en servidores o redes internas. Estar al día con parches de seguridad ya no es opcional: es una parte esencial de la resiliencia digital.
