Vulnerabilidad Android CVE-2025-48595: el zero-day que está siendo explotado ahora mismo


Hay parches de seguridad que se instalan y ya está. Nadie les presta mucha atención. Y luego está este. El CVE-2025-48595, incluido en el boletín de seguridad de Android de junio de 2026, no es un fallo teórico ni una vulnerabilidad descubierta en laboratorio: ya hay ataques reales dirigidos contra dispositivos con Android 14, 15, 16 y 16 QPR2. La Agencia de Ciberseguridad de EE.UU. (CISA) lo ha añadido a su catálogo de vulnerabilidades explotadas conocidas (KEV), y eso no ocurre con cualquier bug.
Si tienes un Android que no ha recibido el parche de junio, conviene leer esto hasta el final.
- Qué es exactamente CVE-2025-48595 y por qué es diferente
- Dispositivos afectados: ¿está tu móvil en riesgo?
- El boletín completo: 124 vulnerabilidades y los componentes afectados
- Cómo saber si ya tienes el parche instalado
- Samsung y Xiaomi ya han empezado el despliegue — pero no para todos
- Qué puedes hacer mientras esperas (o si no recibirás el parche nunca)
- La fragmentación de Android como problema estructural de seguridad
- ¿Debo preocuparme si uso el móvil para el trabajo?
Qué es exactamente CVE-2025-48595 y por qué es diferente
El fallo está clasificado con una puntuación CVSS de 8.4 sobre 10, lo que lo sitúa en el rango de severidad alta, a un paso de la crítica. Permite la escalada de privilegios local: una app instalada en el teléfono puede obtener permisos que nunca debería tener accediendo a datos del sistema o interceptando comunicaciones de otras apps.
El vector de ataque es local, pero no te confundas: eso no significa que sea difícil de explotar. Una app con apariencia legítima descargada de una fuente sospechosa, o colada a través de la actualización de una app aparentemente normal, puede explotar este fallo para acceder a datos protegidos, instalar software adicional en segundo plano o extraer credenciales almacenadas en el móvil sin que notes nada.
Lo que eleva la alarma es la confirmación de ataques activos. Google no suele detallar los grupos que explotan estos fallos, pero el hecho de que CISA lo haya catalogado sugiere actores con recursos operando ya. Los ataques son "limitados y dirigidos" — la forma educada de decir que por ahora apuntan a objetivos concretos, aunque estos patrones tienden a ampliarse.
Dispositivos afectados: ¿está tu móvil en riesgo?
El boletín de junio confirma que la vulnerabilidad afecta a:
- Android 14
- Android 15
- Android 16
- Android 16 QPR2 (la versión trimestral de Android 16 para Pixel)
Eso abarca prácticamente todos los móviles modernos. Si tienes Android 13 o anterior, técnicamente no estás en la lista del parche de junio, pero tampoco recibirás ningún parche de seguridad nuevo, así que la situación no mejora.
La actualización de Android de junio ya está disponible y corrige este fallo junto a otras 123 vulnerabilidades más, 18 de ellas clasificadas como críticas. Es el parche más denso del año hasta ahora.
El boletín completo: 124 vulnerabilidades y los componentes afectados
Para entender el alcance real, hay que ver qué otros componentes estaban en el punto de mira:
| Componente | Vulnerabilidades | Máxima severidad |
|---|---|---|
| Framework de Android | 28 | Crítica |
| Sistema (kernel) | 32 | Alta |
| Google Play System Updates | 14 | Alta |
| Qualcomm (componentes cerrados) | 21 | Crítica |
| MediaTek | 17 | Alta |
| Imagination Technologies | 8 | Alta |
| Unisoc | 4 | Media |
Los fallos en componentes Qualcomm y MediaTek merecen mención especial porque afectan a la capa de hardware de millones de dispositivos. Un fallo en el firmware del chip de banda base o del procesador de señal puede ser mucho más difícil de mitigar que uno en el sistema operativo, porque requiere actualizaciones coordinadas entre el fabricante del chip, el fabricante del teléfono y el operador.
Cómo saber si ya tienes el parche instalado
- Ve a Ajustes → Información del teléfono → Versión de Android
- Busca el apartado "Nivel del parche de seguridad de Android"
- Si muestra 2026-06-05 o posterior, estás protegido
- Si no lo tienes, ve a Ajustes → Sistema → Actualización del sistema
Ojo con este detalle: hay dos conjuntos de parches en el boletín de junio, el del día 1 (2026-06-01) y el del día 5 (2026-06-05). El CVE-2025-48595 está en el segundo lote. Si tu parche muestra "2026-06-01" sigues siendo vulnerable a este CVE específico.
Samsung y Xiaomi ya han empezado el despliegue — pero no para todos
El parche de seguridad de Samsung para junio ya está disponible para los modelos Galaxy S y Galaxy Z de última generación, con 45 correcciones propias de One UI adicionales. El problema es que no todos los modelos lo reciben simultáneamente: los gama media y los dispositivos de más de dos años pueden tardar semanas en recibirlo, dependiendo del mercado.
Xiaomi ha confirmado actualizaciones para 16 fallos críticos específicos de su capa HyperOS derivados de este mismo boletín de Google. Los Redmi Note 13 y Xiaomi 14 están recibiendo el parche en oleadas regionales. Los modelos más antiguos, a partir de dos años de antigüedad, están en tierra de nadie.
Qué puedes hacer mientras esperas (o si no recibirás el parche nunca)
No es una situación ideal, pero hay medidas que reducen significativamente el riesgo:
- No instales APKs fuera de Google Play: la escalada de privilegios requiere que el código malicioso llegue al dispositivo primero. Las APKs de terceros son la vía principal.
- Revisa los permisos de las apps instaladas: Ajustes → Privacidad → Gestor de permisos. Cualquier app con acceso a cámara, micrófono o ubicación sin razón aparente es sospechosa.
- Activa Google Play Protect: no es infalible pero detecta comportamientos anómalos en apps instaladas.
- Mantén Chrome actualizado: muchos vectores de ataque pasan por el navegador antes de llegar al sistema.
La fragmentación de Android como problema estructural de seguridad
Según datos de distribución de versiones, aproximadamente un 28% de los dispositivos Android activos en España aún corren Android 13 o inferior. Esos teléfonos no recibirán el parche de junio. Muchos llevan meses sin ninguna actualización de seguridad y sus usuarios probablemente no lo saben.
La fragmentación sigue siendo el talón de Aquiles de Android en materia de seguridad. Es lo que la actualización del sistema Google de junio intenta mitigar parcialmente, distribuyendo algunos parches a través de Play System Updates sin depender del fabricante, aunque este canal tiene alcance limitado sobre el kernel y los componentes de hardware.
Con Android 17, Google ha anunciado mejoras en el modelo de aislamiento de procesos y en los mecanismos de actualización que podrían reducir este problema estructuralmente. Pero eso llega en otoño. El problema de hoy requiere el parche de hoy.
¿Debo preocuparme si uso el móvil para el trabajo?
Más que si solo lo usas de forma personal. Los ataques dirigidos que CISA ha documentado apuntan principalmente a perfiles con acceso a datos corporativos: personas que usan el móvil para correo de empresa, VPNs o aplicaciones de gestión. Si tu teléfono accede a sistemas de trabajo, la prioridad para actualizar debe ser máxima.
Y si usas un dispositivo corporativo y dependes de que el departamento de IT apruebe las actualizaciones antes de instalarlas: empuja para que lo hagan cuanto antes. Hay un CVE activo con nombre propio esperando en la puerta.

Ver también