Google ha publicado el boletín de seguridad de Android de diciembre de 2025, un paquete de parches que corrige 107 vulnerabilidades de distinta gravedad. El aspecto más relevante del ciclo de actualización es la mitigación de dos fallos de tipo zero‑day —CVE-2025-48633 y CVE-2025-48572— que, según la propia compañía, ya están siendo explotados en ataques dirigidos contra usuarios reales.
Paquete de seguridad de Android de diciembre: niveles de parche y alcance
Como es habitual, la actualización de seguridad de Android se distribuye en dos niveles: 2025-12-01 y 2025-12-05. El primer nivel agrupa correcciones para el Android Framework y diversos módulos del sistema, con un total de 51 vulnerabilidades solventadas. El segundo nivel se centra en el kernel de Android y componentes propietarios de fabricantes de chipsets, añadiendo 56 correcciones adicionales.
El boletín indica que las vulnerabilidades afectan a dispositivos con Android 13 a Android 16, lo que abarca tanto terminales de generaciones anteriores como los modelos más recientes de smartphones y tabletas. Esto incluye un número significativo de dispositivos corporativos y de uso profesional, donde la superficie de riesgo es mayor por la sensibilidad de la información gestionada.
Vulnerabilidades 0‑day activamente explotadas en Android
CVE-2025-48633: exposición de datos sensibles y riesgo para la privacidad
La vulnerabilidad CVE-2025-48633 está relacionada con acceso no autorizado a información confidencial. Este tipo de fallo puede permitir que un atacante lea secciones de memoria a las que no debería tener acceso, obteniendo datos personales, tokens de sesión, información de aplicaciones y otros artefactos sensibles. En la práctica, estos datos pueden utilizarse para robo de identidad, secuestro de cuentas o como eslabón inicial de una cadena de explotación más compleja.
En el contexto de la ciberseguridad móvil, vulnerabilidades de filtración de memoria han sido empleadas históricamente como parte de cadenas de ataque que combinan exploits de navegador, mensajería y componentes del sistema para lograr un compromiso silencioso y persistente del dispositivo.
CVE-2025-48572: elevación de privilegios y control del sistema
La segunda vulnerabilidad de día cero, CVE-2025-48572, se clasifica como elevation of privilege (EoP). Este tipo de fallo permite a un atacante elevar sus permisos más allá de los otorgados a la aplicación comprometida, superando los límites de la “sandbox” de Android.
Un exploit EoP eficaz puede otorgar privilegios cercanos a los del sistema, lo que abre la puerta a la instalación de spyware, el interceptado de comunicaciones, la modificación silenciosa de ajustes de seguridad y el bypass de mecanismos de protección. Google indica que ambas vulnerabilidades se han utilizado en campañas dirigidas y de alcance limitado, un patrón consistente con operaciones de vigilancia selectiva, como las observadas en el pasado en torno a plataformas comerciales de espionaje y actores vinculados a Estados nación.
Otras vulnerabilidades críticas en Framework, kernel y chipsets
Más allá de los 0‑day, el boletín destaca la vulnerabilidad CVE-2025-48631 en el Android Framework, que puede derivar en denegación de servicio (DoS). Un ataque DoS a nivel de framework puede provocar el bloqueo repetido de procesos clave, reinicios forzados o la inutilización temporal de servicios esenciales, con impacto directo en entornos corporativos, industriales y de infraestructuras críticas que dependen de la disponibilidad del dispositivo.
En el kernel de Android se han corregido al menos cuatro vulnerabilidades críticas de elevación de privilegios en las subsistemas Pkvm y UOMMU, relacionados con la virtualización y la gestión de memoria. Un fallo en estas capas puede degradar de forma significativa la aislación entre procesos y reducir la eficacia de las defensas basadas en contenedores y máquinas virtuales, un aspecto especialmente sensible en despliegues empresariales y multiusuario.
El boletín menciona también dos vulnerabilidades críticas en dispositivos con chipsets Qualcomm —CVE-2025-47319 y CVE-2025-47372— ubicadas en drivers y firmware propietarios. Este tipo de fallos en módems y coprocesadores, que se ejecutan con altos privilegios, son especialmente atractivos para atacantes que buscan eludir las protecciones estándar de Android. Vulnerabilidades adicionales en soluciones de otros fabricantes, como MediaTek, se detallan en boletines independientes de cada proveedor.
A quién afectan estos parches
La explotación de vulnerabilidades 0‑day en Android suele asociarse a ataques altamente selectivos y costosos, dirigidos a perfiles de alto valor: cargos públicos, periodistas, defensores de derechos humanos, directivos y personal de organizaciones estratégicas. Sin embargo, la experiencia muestra que, con el tiempo, técnicas y exploits inicialmente exclusivos acaban filtrándose y siendo reutilizados por grupos criminales en campañas más amplias.
Para usuarios particulares y equipos de TI, el mensaje es claro: la instalación rápida de las actualizaciones de seguridad de Android es una de las medidas de protección más efectivas. Retrasar la aplicación de parches aumenta la ventana de exposición y, por tanto, la probabilidad de verse afectado en oleadas posteriores de ataques, cuando los exploits ya se han industrializado.
Qué hacer: pasos prioritarios
- Instalar el parche de seguridad de diciembre de 2025 inmediatamente: en Android, ve a Ajustes → Sistema → Actualizaciones del sistema. Verifica que el nivel de parche sea 2025-12-05 para obtener todas las correcciones.
- En organizaciones: desplegar el parche mediante MDM/EMM (Microsoft Intune, Google Endpoint Management) de forma centralizada y priorizar dispositivos con acceso a sistemas corporativos.
- Priorizar dispositivos con Android 13–16, que son los afectados por los 0-day. Si el dispositivo no recibe actualizaciones de seguridad, considerar su sustitución.
- Limitar la instalación de apps a fuentes oficiales (Google Play) y revisar los permisos concedidos a aplicaciones sensibles.
- Suscribirse al boletín de seguridad de Android para recibir alertas sobre futuras vulnerabilidades críticas.
Dado que ambos 0-day ya están siendo explotados en ataques dirigidos, la instalación del parche de diciembre de 2025 es prioritaria especialmente para usuarios con acceso a información sensible, entornos corporativos y sectores de infraestructuras críticas.
