Google ha publicado el paquete de seguridad de Android de septiembre de 2025 con correcciones para 120 vulnerabilidades en el sistema operativo y componentes de la ecosistema. La compañía confirmó que al menos dos fallos, CVE‑2025‑38352 (elevación de privilegios en Linux Kernel) y CVE‑2025‑48543 (elevación de privilegios en Android Runtime), han sido explotados en ataques dirigidos y de alcance limitado, sin requerir interacción del usuario. Según el Android Security Bulletin, este tipo de debilidades son prioritarias por su potencial para comprometer dispositivos con una sola exposición.
Vulnerabilidades críticas y 0‑day: qué se corrige y por qué importa
CVE‑2025‑38352 afecta al kernel de Linux: se trata de una condición de carrera en los temporizadores POSIX que puede provocar fallos en la limpieza de tareas y desestabilizar el núcleo. Descubierta el 22 de julio de 2025, se corrigió en ramas del kernel a partir de la 6.12.35‑1. En la práctica, este bug puede causar denegación de servicio y habilitar elevación de privilegios (EoP), es decir, permitir que un proceso obtenga permisos más altos de los que debería.
CVE‑2025‑48543 reside en Android Runtime (la capa que ejecuta apps Java/Kotlin y servicios del sistema). Puede burlar la sandbox y acceder a funcionalidades de mayor nivel. Un bypass de sandbox es especialmente crítico cuando se combinan con apps maliciosas o vectores de carga encubiertos, pues reduce las barreras entre una app y los recursos del sistema.
Vectores de ataque y potencial de impacto
CVE‑2025‑48539: RCE sin interacción mediante Wi‑Fi o Bluetooth
Destaca CVE‑2025‑48539, una vulnerabilidad de ejecución remota de código (RCE) en un componente del sistema Android. Permite a un atacante en proximidad de red o física (por ejemplo, dentro del alcance de Wi‑Fi o Bluetooth) ejecutar código arbitrario sin clics y sin permisos previos. Los vectores RCE por proximidad se consideran de alta prioridad porque pueden facilitar propagación tipo gusano en entornos locales. Históricamente, campañas como BlueBorne o Broadpwn ilustraron cómo fallos inalámbricos pueden comprometer dispositivos cercanos sin intervención del usuario.
Qualcomm: GPS, pilas de red y subsistemas de telefonía
El boletín incluye correcciones críticas para componentes de Qualcomm, entre ellas CVE‑2025‑21450 (gestión de GPS), CVE‑2025‑21483 (defectos en pilas de red) y CVE‑2025‑27034 (error en el procesador de llamadas multimodo). Estas fallas pueden afectar geolocalización, manejo de tráfico y telefonía, elevando el riesgo de acceso no autorizado a datos, fuga de información y degradación del servicio en la capa del módem. Para un parque corporativo, comprometer el módem puede abrir puertas a espionaje de tráfico y persistencia a bajo nivel.
Niveles de parche 2025‑09‑01 y 2025‑09‑05: cómo leerlos y aplicarlos
Google mantiene dos niveles de parche: 2025‑09‑01 (núcleo del sistema Android) y 2025‑09‑05 (incluye controladores y componentes propietarios, como Qualcomm). Los OEM utilizan esta separación para distribuir actualizaciones parciales más rápido. Para usuarios y empresas, el objetivo debe ser alcanzar el nivel 2025‑09‑05 tan pronto como esté disponible, ya que consolida mitigaciones adicionales que cierran superficies de ataque de bajo nivel.
Riesgos para usuarios y organizaciones y mitigaciones prioritarias
Las vulnerabilidades 0‑click incrementan el riesgo para dispositivos expuestos en redes públicas o con interfaces Bluetooth/Wi‑Fi siempre activas. En entornos empresariales, EoP y RCE pueden derivar en la toma de control de perfiles EMM/MDM, movimientos laterales y fuga de datos. Boletines como el Android Security Bulletin y las advisories de fabricantes (p. ej., Qualcomm) son referencias esenciales para priorizar parches en función del inventario de hardware.
- Actualizar a la versión con parche 2025‑09‑05 en cuanto el OEM la libere.
- Reducir la superficie inalámbrica: limitar la visibilidad y desactivar Bluetooth/Wi‑Fi cuando no se utilicen.
- Restringir la instalación de APK de terceros; reforzar permisos y mantener activo Google Play Protect.
- En empresas: desplegar parches vía MDM/EMM, bloquear sideloading y monitorizar registros por fallos del kernel y anomalías en servicios.
La actualización de septiembre confirma un patrón sostenido: la plataforma móvil es un objetivo prioritario para ataques dirigidos con 0‑day. Mantener los dispositivos al día, minimizar la superficie de exposición inalámbrica y aplicar una gestión estricta de aplicaciones reduce de forma significativa el riesgo. Conviene seguir de manera periódica el Android Security Bulletin y los avisos de los proveedores para acelerar la adopción de parches críticos y reforzar la resiliencia del parque de dispositivos.
