- El equipo Donjon de Ledger explotó los teléfonos MediaTek, recuperando PIN de billeteras criptográficas y frases iniciales
- Los atacantes pueden extraer claves criptográficas raíz de dispositivos Android apagados a través de USB
- El entorno de ejecución confiable de Trustonic no logra detener los ataques en una cuarta parte de los dispositivos Android
El equipo de hacking de sombrero blanco de Ledger, Donjon, descubrió una vulnerabilidad en los teléfonos inteligentes Android con tecnología MediaTek que permite a los atacantes acceder a datos confidenciales en menos de un minuto.
Usando un Nothing CMF Phone 1, Donjon evitó por completo el sistema operativo Android, recuperó el PIN, descifró el almacenamiento y extrajo frases iniciales de varias billeteras criptográficas.
La falla afecta a los dispositivos que utilizan el entorno de ejecución confiable de Trustonic junto con los procesadores MediaTek, que se encuentran en aproximadamente uno de cada cuatro teléfonos inteligentes Android en todo el mundo.
El artículo continúa a continuación.
Los atacantes pueden conectar un teléfono apagado a través de USB y recuperar claves criptográficas raíz antes de que se cargue el sistema operativo.
Una vez obtenidas, estas claves permiten el descifrado fuera de línea del almacenamiento y la fuerza bruta del PIN del dispositivo, exponiendo los datos de la aplicación, incluidos mensajes, fotos e información de la billetera.
Los ataques sin clic revelan que los teléfonos inteligentes Android a menudo carecen de protecciones de hardware y firmware suficientes para proteger la información confidencial del usuario contra ataques avanzados.
“Esta investigación demuestra lo que hemos advertido durante mucho tiempo: los teléfonos inteligentes nunca fueron diseñados para ser seguros. Si bien esto se puede solucionar, animamos a todos los usuarios a actualizar con las últimas correcciones de seguridad”, dijo Charles Guillemet, director de tecnología de Ledger.
“Si su cifrado está en un teléfono, será tan seguro como el eslabón más débil del hardware, firmware o software de ese teléfono”.
El equipo de Donjon audita periódicamente los dispositivos Ledger y el hardware de terceros, revelando de manera responsable las vulnerabilidades para permitir que los fabricantes publiquen correcciones antes de que ocurra la explotación.
Ledger reveló esta vulnerabilidad a MediaTek y Trustonic bajo el proceso de divulgación estándar de 90 días, lo que da tiempo para que los parches de seguridad lleguen a los OEM afectados.
MediaTek confirmó que entregó actualizaciones a los OEM el 5 de enero de 2026 y la vulnerabilidad se reveló públicamente el 2 de marzo de 2026 como CVE-2025-20435.
Los usuarios deben instalar inmediatamente actualizaciones de seguridad para mitigar posibles ataques, ya que el firmware actualizable sigue siendo fundamental para parchear eficazmente los exploits de día cero.
Este exploit revela los riesgos inherentes a depender de dispositivos móviles para almacenar datos privados, incluidas carteras criptográficas y otra información confidencial.
Todos los datos almacenados en los teléfonos inteligentes Android siguen siendo susceptibles a ataques basados en hardware, lo que enfatiza que la aplicación inmediata de parches es la única defensa práctica contra amenazas avanzadas.
Los usuarios deben ser conscientes de que incluso los teléfonos inteligentes empresariales modernos tienen riesgos de seguridad inherentes y que las fallas de hardware, firmware o software pueden exponer datos confidenciales sin previo aviso.
Los datos comerciales o personales confidenciales no deben considerarse seguros en los teléfonos móviles, y depender únicamente de estos dispositivos para almacenar activos es inherentemente riesgoso.
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
