Google ha liberado el boletín de seguridad de Android correspondiente a junio de 2026 y, entre las 124 vulnerabilidades corregidas, una destaca sobre las demás: CVE-2025-48595. El fallo, clasificado con una gravedad de 8.4 sobre 10, ya está siendo explotado de forma activa en ataques limitados y dirigidos contra dispositivos que ejecutan Android 14, 15, 16 y 16 QPR2. Le adelanto que, aunque Google no atribuye la campaña —y rara vez lo hace públicamente—, el perfil técnico del ataque encaja con el que hemos visto en operaciones de spyware comercial y de ciberespionaje de Estado. Llevo años siguiendo este tipo de fallos y, como ya advertí en El quinto elemento, ‘el próximo 11S empezará con un clic’.
El patrón del espionaje selectivo marca la operación
La compañía ha confirmado que existen indicios de que CVE-2025-48595 está siendo explotada ‘de forma limitada y dirigida’, una expresión que en los boletines de Android suele traducirse en ataques contra un número reducido de objetivos de alto valor. No es una campaña de infección masiva, sino una operación quirúrgica de inteligencia. El fallo es local, no requiere interacción del usuario y reside en el Android Framework, una de las capas más sensibles del sistema operativo. La combinación de esas tres características apunta directamente a las herramientas que utilizan los proveedores de spyware comercial y las agencias de inteligencia para comprometer los teléfonos de periodistas, disidentes, ejecutivos o funcionarios gubernamentales.
Anatomía de un desbordamiento en el Android Framework
El problema técnico es un desbordamiento de enteros (integer overflow) que puede desembocar en ejecución de código y escalada de privilegios sin necesidad de permisos adicionales. Un atacante que consiga instalar una aplicación maliciosa en el dispositivo puede abusar de la vulnerabilidad para obtener el control total. El escenario más probable, según los investigadores, es que un operador de spyware aproveche un segundo vector —phishing de alta precisión, una vulnerabilidad encadenada o un ataque de intermediario— para colocar un dropper que, una vez dentro, explote CVE-2025-48595 y se haga con los privilegios de sistema.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras estadounidense (CISA) incluyó el fallo en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el pasado 2 de junio, obligando a las agencias federales civiles a parchearlo antes del 5 de junio. Esa velocidad —tres días para remediar— revela la preocupación real que genera la explotación activa.
Uno de los mayores retos sigue siendo el modelo fragmentado de actualizaciones de Android. Los Pixel de Google reciben los parches de inmediato, pero el resto de fabricantes necesitan semanas o meses para adaptar las correcciones a sus propias capas de personalización. La mayoría de los dispositivos permanece desprotegida durante un periodo crítico en el que los atacantes intensifican su actividad, sabiendo que la ventana de oportunidad se cierra para los objetivos una vez que el parche se ha distribuido.
Dossier Moncloa: Ojos en la Sombra
Vector de amenaza: una vulnerabilidad de día cero en el núcleo del sistema operativo Android que permite escalada de privilegios y ejecución remota de código. No se trata de un exploit aislado, sino de una capacidad que puede integrarse en cadenas de ataque más complejas, probablemente ligadas a proveedores de spyware como NSO Group o Intellexa, o a grupos APT con intereses de inteligencia. La falta de atribución pública de Google no descarta que la vulnerabilidad sea uno de esos ‘zero-days de catálogo’ que los Estados compran en el mercado gris para sus propias operaciones de tradecraft digital.
Agencias implicadas: el actor atacante permanece sin identificar, pero el patrón de explotación limitada apunta a servicios de inteligencia o a empresas que trabajan para ellos. Del lado defensor, Google ha liderado la corrección técnica, mientras que el Centro Criptológico Nacional (CCN-CERT) monitoriza la situación en España y emite sus propias alertas para el sector público. La CISA actúa como acelerador administrativo en Estados Unidos. En el trasfondo, los servicios de contrainteligencia del CNI están obligados a vigilar cualquier infección que pueda comprometer terminales de altos cargos o infraestructuras críticas conectadas a Android.
Nivel de clasificación estimado: Confidencial. Los detalles técnicos precisos del fallo y los indicadores de compromiso no se han difundido de forma masiva, y la propia Google habla de una explotación limitada. A juzgar por la naturaleza del material y la forma en que se ha gestionado la divulgación, es razonable pensar que durante un tiempo estos detalles han estado —o siguen estando— bajo un control cercano de las agencias de seguridad. Recuerdo aquí el precedente de Pegasus: durante meses, Citizen Lab y otras organizaciones tuvieron que reconstruir las cadenas de infección casi a ciegas porque el tradecraft de los operadores estaba diseñado para dejar la menor huella posible.
La lectura confidencial es que, aunque todavía no se haya vinculado a una operación concreta, CVE-2025-48595 va a ser durante semanas una pesadilla logística para los equipos de seguridad de cada ministerio y empresa sensible en España. Y lo será, precisamente, porque ataca el eslabón más débil de la cadena: el dispositivo Android que un alto cargo lleva en el bolsillo.
La explotación limitada de un zero-day en Android es hoy la firma más clara de una operación de inteligencia, por encima incluso del malware de Estado más sofisticado.
El calendario marca ahora dos fechas críticas: el 5 de junio para las agencias federales de EE.UU. y, de puertas para adentro, la próxima reunión del Equipo de Respuesta ante Emergencias Informáticas del CCN-CERT, donde se decidirá si elevar el nivel de alerta para el conjunto de la Administración española. Mientras, millones de teléfonos Android siguen expuestos a un fallo que, en manos del adversario correcto, vale más que una campaña masiva de ransomware.
