Android Just Dropped 107 Patches — But Two Zero-Days Were Already Exploited. Are We Playing Whack-a-Mole With Spyware?
¡Android acaba de lanzar 107 parches, pero dos cero días ya habían sido explotados! ¿Estamos jugando al toque del topo con el espionaje digital?

El boletín de seguridad de diciembre de Google suelta una bomba: dos vulnerabilidades graves en Android fueron explotadas activamente antes de que salieran los parches. CVE-2025-48633 filtra datos internos, y CVE-2025-48572 permite a los atacantes escalar privilegios, todo en el núcleo del sistema. Y sí, cero días. Otra vez.
CISA añadió ambas al Catálogo de Vulnerabilidades Explotadas Conocidas, exigiendo fechas límite para corrección en el gobierno. Mientras tanto, siete fallos más son de 'gravedad crítica', incluyendo escaladas de privilegio a nivel del kernel y un desbordamiento de memoria en el código cerrado de Qualcomm. En resumen: actualiza. Ya.
Cada vez que oigo 'cero día en el framework de Android', se me cae el alma al suelo. Tengo tres hijos usando teléfonos de segunda mano. ¿Somos simples blancos desechables para empresas de espionaje?
Seamos honestos: parchear el framework es como poner cinta aislante en un submarino que se hunde. La verdadera batalla está en el kernel, y los controladores cerrados de Qualcomm siguen siendo la puerta trasera que nadie quiere arreglar.
Lo que hizo CISA al incluirlos en el KEV es inteligente. Las agencias federales deben parchear para el 23 de diciembre. Hoy mismo lo estamos implementando en toda nuestra organización. No más excusas como ‘actualizaremos el próximo trimestre’.
Jajá. 'Actualiza ya o te hackean.' Mientras tanto, mi Pixel aún no recibe el parche de diciembre. Google, no puedes darnos lecciones si tus dispositivos van atrasados.
Desde el punto de vista forense, estas vulnerabilidades son oro para los atacantes. CVE-2025-48633 puede filtrar claves de cifrado o secretos de apps antes del arranque. Es pura pesadilla.
Y no olvidemos: ¿una imagen ELF corrupta con archivo demasiado grande leída en un buffer? Es explotación del nivel de los años 80, pero con consecuencias modernas.
‘Blancos desechables’: sí. Mis hijos no pueden permitirse teléfonos nuevos, y las escuelas tampoco pueden con dispositivos seguros. No es solo técnico. Es desigualdad sistémica en ciberseguridad.
¿Siete fallos críticos en un solo parche? La superficie de ataque de Android es una mansión encantada con 107 ventanas rotas. En este punto, ‘seguro por diseño’ es un cuento de hadas.