La actualización de Android de junio de Google corrige una vulnerabilidad de escalada de privilegios zero-click bajo explotación activa

El boletín de seguridad de Android de junio de 2026 de Google corrige CVE-2025-48595, una vulnerabilidad crítica de escalada de privilegios zero-click en Android Framework que la compañía confirma que está siendo explotada en ataques dirigidos. La Agencia de Seguridad Cibernética e Infraestructura de EE.UU. (CISA) ha agregado la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que equivale a una directiva oficial de "parche inmediato" por parte de las autoridades federales de ciberseguridad.

Zero-click significa que no se requiere interacción del usuario. Un atacante no necesita engañar a la víctima para que abra un enlace, instale una aplicación o conceda un permiso. Combinado con la escalada de privilegios —la capacidad de elevarse al acceso a nivel de sistema— esta clase de vulnerabilidad es una de las más peligrosas en seguridad móvil. El resultado práctico es que un dispositivo objetivo puede verse comprometido sin que el propietario realice ninguna acción que indique un ataque.

Qué está afectado

CVE-2025-48595 afecta a dispositivos con Android 14, 15, 16 y 16 QPR2. El boletín de seguridad de junio de 2026, publicado el 1 de junio y actualizado el 3 de junio, aborda 124 vulnerabilidades en total en los componentes de Framework, sistema y kernel de Android. El nivel de parche de seguridad 2026-06-05 o posterior resuelve todos los problemas informados en este boletín.

Los usuarios pueden verificar su nivel de parche yendo a Ajustes → Acerca del teléfono → Versión de Android → Nivel de parche de seguridad. En los dispositivos que reciben actualizaciones de seguridad mensuales de Android directamente de Google —teléfonos Pixel y algunos buques insignia de Samsung Galaxy— la actualización ya se está desplegando. Los dispositivos de otros fabricantes pueden tardar varias semanas más según los cronogramas de actualización de su operador y OEM.

Qué significa la inclusión de CISA en KEV

El catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA es una lista de remediación obligatoria para las agencias federales de EE.UU., con plazos vinculantes para aplicar parches. Cuando CISA agrega una vulnerabilidad al catálogo KEV, significa que la agencia ha confirmado la explotación en el mundo real —no riesgo teórico— con un nivel de confianza lo suficientemente alto como para imponer plazos de parcheo federales.

Para las organizaciones civiles, la inclusión de CISA en KEV es efectivamente un aviso de alta prioridad: esta vulnerabilidad está siendo armada activamente. El lenguaje de divulgación de Google —"explotación limitada y dirigida"— sugiere que aún no es una campaña de explotación masiva, sino más bien ataques probablemente vinculados a operadores de spyware comercial o actores estatales que adquieren o descubren rutinariamente exploits móviles zero-click para vigilancia dirigida.

Sin solución alternativa: la actualización es la única solución

No hay ningún cambio de configuración ni mitigación del lado del usuario que cierre esta vulnerabilidad. El componente Android Framework donde reside la falla no puede aislarse ni desactivarse sin romper la funcionalidad básica del sistema. La única protección es aplicar el parche de seguridad de junio de 2026.

Los usuarios que no puedan actualizar de inmediato —porque el fabricante de su dispositivo aún no ha enviado el parche— deben ser conscientes de que este es un escenario de explotación activa, no un riesgo teórico futuro. Las personas que son objetivos de vigilancia de alto valor (periodistas, ejecutivos, activistas, funcionarios gubernamentales) enfrentan el mayor riesgo de esta clase de exploit zero-click dirigido, ya que estos ataques suelen ser costosos de implementar y son dirigidos en lugar de indiscriminados.

El boletín de junio también corrige CVE-2026-28577, una falla de escalada de privilegios mediante tapjacking, y varios otros problemas de alta gravedad en los componentes del kernel y multimedia. Cualquier dispositivo Android que pueda recibir el parche de junio de 2026 debe hacerlo tan pronto como esté disponible del fabricante.