Una falla de Android deja 30 millones de billeteras criptográficas abiertas a ataques: analistas de Microsoft
Ha estado disponible un parche durante casi un año, pero es posible que millones de usuarios de Android todavía estén ejecutando aplicaciones vulnerables de billetera criptográfica, lo que deja sus fondos y claves privadas expuestos a una falla de seguridad conocida.
El equipo de investigación de seguridad Defender de Microsoft hizo públicos la semana pasada los detalles de una vulnerabilidad que detectó por primera vez en abril de 2025. La falla se encontraba dentro de un componente de software ampliamente utilizado llamado EngageLab SDK, versión 4.5.4.
Debido a que el SDK está integrado en miles de aplicaciones de Android, una sola aplicación maliciosa podría desencadenar una reacción en cadena que iba mucho más allá de sí misma.
Cómo funciona el ataque
El método se llama «redirección de intención». La aplicación de un atacante envía un mensaje especialmente diseñado a cualquier aplicación que ejecute la versión defectuosa del SDK. Una vez que llega ese mensaje, se engaña a la aplicación objetivo para que entregue acceso de lectura y escritura a sus propios datos, incluidas frases iniciales almacenadas y direcciones de billetera.
El sistema sandbox integrado de Android, que normalmente evita que las aplicaciones vean los datos de otras, se omitió por completo. Según Microsoft, el ataque afectó a más de 50 millones de aplicaciones en todo el ecosistema de Android, de las cuales aproximadamente 30 millones eran billeteras criptográficas.
La vulnerabilidad no requería que el usuario hiciera nada malo. No hay enlaces sospechosos. Sin páginas de phishing. Bastaba con tener instaladas las aplicaciones equivocadas al mismo tiempo.
Respuesta de Microsoft y Google
Microsoft actuó rápidamente después de su descubrimiento. En mayo de 2025, la empresa había incorporado a Google y al equipo de seguridad de Android a la respuesta. EngageLab lanzó una versión corregida, SDK 5.2.1, poco después.
Los informes indican que desde entonces, tanto Microsoft como Google han indicado a los usuarios cómo verificar si sus aplicaciones de billetera se han actualizado a través de Google Play Protect.
Los funcionarios también señalaron una preocupación más amplia: las aplicaciones instaladas como archivos APK desde fuera de Play Store corren un mayor riesgo, ya que pasan por alto los controles de seguridad que Google aplica a las aplicaciones que figuran en su mercado oficial.
Qué deben hacer los usuarios ahora
Para la mayoría de los usuarios que actualizan sus aplicaciones con regularidad, es probable que el riesgo haya pasado. Pero para cualquiera que no haya actualizado desde mediados de 2025, la acción recomendada va más allá de una simple actualización de la aplicación.
Los equipos de seguridad recomiendan a esos usuarios que transfieran sus fondos a billeteras completamente nuevas, generadas con frases iniciales nuevas. Cualquier billetera que estuviera activa y sin parches durante el período de exposición debe tratarse como potencialmente comprometida.
La divulgación viene acompañada de una vulnerabilidad separada en un chip Android señalada el mes anterior y una nueva iniciativa del Tesoro de EE. UU. que vincula a agencias gubernamentales con empresas de criptomonedas para compartir información sobre amenazas a la ciberseguridad, una señal de que la seguridad móvil en el espacio criptográfico está atrayendo la atención en los niveles más altos.
Imagen destacada de Bleeping Computer, gráfico de TradingView
