
Hay un nuevo término que está dando que hablar en ciberseguridad móvil: Pixnapping. Este ataque, cuyo nombre mezcla pixel y kidnapping, ha demostrado que es capaz de capturar lo que se muestra en la pantalla de un Android y, entre otras cosas, robar códigos de verificación de doble factor de autenticación sin levantar sospechas.
Lo más inquietante es que, según los investigadores que lo han presentado, el ataque se ejecuta en cuestión de segundos y no requiere permisos especiales. Es decir, una app aparentemente inocua, instalada por el propio usuario, puede leer información visible en pantalla de otras aplicaciones y extraer datos sensibles como mensajes privados, mapas o códigos temporales 2FA.
¿Qué es Pixnapping y por qué es especialmente preocupante?
Pixnapping es una técnica que aprovecha la combinación de APIs legítimas de Android con un canal lateral de hardware. Gracias a esa mezcla, los atacantes logran observar, reconstruir y filtrar lo que se representa en la pantalla del dispositivo, de modo que pueden capturar datos en tiempo real de prácticamente cualquier app siempre que la información sea visible.
Uno de los puntos diferenciales de este ataque es que la app maliciosa no necesita permisos. Ni accesibilidad, ni lectura de notificaciones, ni capturas de pantalla. Aun así, consigue sacar partido a mecanismos del sistema y señales físicas para conseguir su objetivo: leer lo que ves tú, sin que te des cuenta.
Los investigadores han demostrado que, en menos de 30 segundos, Pixnapping puede robar códigos temporales como los de Google Authenticator, y lo hace de forma sigilosa. Durante ese intervalo, el usuario puede estar, por ejemplo, abriendo su correo o mirando un mapa, y la app maliciosa extrae el código 2FA sin mostrar pantallas raras ni notificaciones extrañas.
Importa mucho un matiz: si una clave o un secreto nunca se dibuja en pantalla, Pixnapping no puede apropiárselo. Por eso, las claves fuera de la vista (como secretos TOTP guardados y no mostrados) no corren riesgo directo por este método. El peligro se centra en aquello que se renderiza y el ojo humano puede ver.
Para probar su alcance, el equipo de investigación ejecutó ataques en varios modelos de Google y Samsung. En concreto, se validó en Google Pixel 6, Pixel 7, Pixel 8 y Pixel 9, además de en un Samsung Galaxy S25. Los ensayos incluyeron la extracción de datos sensibles de sitios y apps como Gmail, cuentas de Google, Signal, Google Authenticator, Venmo y Google Maps, demostrando que el vector es amplio y no se limita a un único fabricante o aplicación.
Cómo roba códigos 2FA y otros datos que aparecen en la pantalla
Cuando abres una app de autenticación o recibes un código de un solo uso y este se muestra en el dispositivo, Pixnapping puede detectarlo y reconstruirlo lo bastante bien como para robarlo. Su eficacia proviene de observar patrones de renderizado y señales asociadas al proceso de dibujado, por lo que el contenido visible es la superficie de ataque principal.
Esto explica por qué funciona con códigos TOTP generados por apps de autenticación y, también, con OTP que aparecen en mensajes, notificaciones o ventanas emergentes. En pocas palabras: si tú lo ves en tu pantalla, el atacante puede hacerse una copia mediante este enfoque.
Parcheo y mitigaciones: qué ha hecho Google y qué falta por venir

Para tratar de frenar este vector, Google lanzó un parche identificado como CVE-2025-48561. No obstante, los propios investigadores han señalado que, incluso con esa actualización instalada, Pixnapping seguía funcionando en sus pruebas. No es la primera vez que ocurre algo así con ataques novedosos: la primera mitigación reduce parte del riesgo, pero no cierra completamente la puerta.
Google ha comunicado que publicará una contramedida adicional en el boletín de seguridad de Android de diciembre. Mientras llega ese parche complementario, conviene extremar precauciones: evita instalar apps fuera de la tienda oficial, revisa desarrolladores poco conocidos y, ante cualquier duda, desinstala lo sospechoso. Activa Google Play Protect, prefiere apps antirrobo y mantén el sistema actualizado y limita, en lo posible, que tus códigos 2FA se muestren de forma prolongada en pantalla.
Además de la capa de actualizaciones, es recomendable apostar por métodos de autenticación que no dependan de códigos visibles. Por ejemplo, claves de seguridad físicas FIDO o aprobaciones push en lugar de TOTP mostrados como dígitos, siempre que el servicio lo permita. Reducir el tiempo que un código está en pantalla y minimizar notificaciones con contenido sensible también ayuda a bajar la exposición.
Más allá de Pixnapping: técnicas de secuestro y robo de códigos que están al alza
El robo de códigos y sesiones no es exclusivo de Android ni de este ataque. En paralelo, proliferan técnicas como el QRLJacking, el secuestro de sesiones web o los fraudes con WhatsApp y QR. Todas comparten una idea: explotar la confianza del usuario para colarse en su identidad digital y acceder a cuentas o dinero.
QRLJacking y fraudes con códigos QR
El QRLJacking consiste en engañar al usuario para que escanee un código QR que parece legítimo, pero que redirige a un sitio controlado por el atacante. En algunos servicios, ese QR sirve para iniciar sesión o vincular una sesión, por lo que la víctima, sin saberlo, entrega su sesión al delincuente. Este enfoque se apoya en la confianza que tenemos en los QR por su uso cotidiano: menús de restaurantes, pagos, redes wifi o check-ins.
Existen varias variantes de fraude con QR. Una es el denominado QR Code Jacking: el atacante pega un QR falso encima del auténtico, por ejemplo, en parquímetros, estaciones de carga o carteles. El usuario cree que paga el estacionamiento, pero acaba en una web clonada que roba tarjetas. Este tipo de engaño ya ha ocurrido en sitios reales, con conductores redirigidos a webs trampa donde sus datos acababan en manos de estafadores.
Otra modalidad es el quishing: correos electrónicos con QR falsos que simulan provenir de bancos o administraciones. Te invitan a verificar datos, aprovechar una oferta o resolver un problema, y el QR te lleva a un sitio falso donde se te piden credenciales o información personal. También se han detectado apps de escaneo de QR en tiendas oficiales que contenían malware, como ocurrió con el caso de Barcode Scanner en su día.
Para reducir el riesgo con QR: verifica la fuente antes de escanear, usa apps de confianza y desactiva la apertura automática del enlace. Fíjate si el QR parece superpuesto o impreso en un papel diferente. Ante dudas, abre la web escribiéndola en el navegador en lugar de seguir el QR. En entornos físicos, negocios y eventos deberían revisar periódicamente los QR que muestran al público.
Secuestro de sesión en la web: cómo funciona y por qué es tan dañino
Cuando inicias sesión en una web o aplicación, el servidor crea una sesión y te entrega un identificador, a menudo a través de una cookie temporal. Ese ID mantiene tu autenticación hasta que cierras sesión o expira. Si un atacante logra quedarse con ese ID, puede hacerse pasar por ti y acceder a todo como si fueras el usuario legítimo.
Hay múltiples vías de ataque. El scripting entre sitios (XSS) inyecta un script que hace que el navegador revele la cookie o el token de sesión. El secuestro lateral de sesión o sniffing monitoriza el tráfico en redes wifi abiertas o mediante man-in-the-middle para capturar cookies sin cifrado. La fijación de sesión fuerza a la víctima a iniciar con un ID predefinido que el atacante ya conoce y, luego, entra a tu cuenta. El man-in-the-browser infecta el equipo con un troyano que modifica transacciones sobre la marcha. Y están los tokens previsibles: si un servidor genera IDs con patrones, se pueden deducir por fuerza bruta.
Este problema no es igual que la suplantación de sesión. En el secuestro, el usuario ya ha iniciado y el atacante toma el control de una sesión real, por lo que puede provocar comportamientos extraños o errores al usuario. En la suplantación, en cambio, el delincuente crea una sesión nueva haciéndose pasar por el usuario, sin que este note nada en ese momento.
Las consecuencias son amplias: robo de identidad, transacciones fraudulentas, instalación de malware, ataques de denegación de servicio o acceso en cadena a sistemas cuando existe inicio de sesión único (SSO). Durante la pandemia, se popularizó el llamado zoom bombing, con intrusos que se colaban en videollamadas privadas. También se han reportado vulnerabilidades como la de Slack en 2019, que permitía robar cookies mediante redirecciones, o la de GitLab en 2017, con tokens expuestos en URLs y persistentes.
Buenas prácticas: evita operar en redes wifi públicas para banca, compras o correos; si no hay alternativa, usa una VPN. Sospecha de enlaces en emails no solicitados y comprueba que la web tenga HTTPS. Mantén un antivirus actualizado y configura tus servicios con MFA, políticas de caducidad de sesión y revisión de dispositivos conectados.
Este problema no es igual que la suplantación de sesión. En el secuestro, el usuario ya ha iniciado y el atacante toma el control de una sesión real, por lo que puede provocar comportamientos extraños o errores al usuario. En la suplantación, en cambio, el delincuente crea una sesión nueva haciéndose pasar por el usuario, sin que este note nada en ese momento.
Las consecuencias son amplias: robo de identidad, transacciones fraudulentas, instalación de malware, ataques de denegación de servicio o acceso en cadena a sistemas cuando existe inicio de sesión único (SSO). Durante la pandemia, se popularizó el llamado zoom bombing, con intrusos que se colaban en videollamadas privadas. También se han reportado vulnerabilidades como la de Slack en 2019, que permitía robar cookies mediante redirecciones, o la de GitLab en 2017, con tokens expuestos en URLs y persistentes.
Buenas prácticas: evita operar en redes wifi públicas para banca, compras o correos; si no hay alternativa, usa una VPN. Sospecha de enlaces en emails no solicitados y comprueba que la web tenga HTTPS. Mantén un antivirus actualizado y configura tus servicios con MFA, políticas de caducidad de sesión y revisión de dispositivos conectados.
Si detectas fraude o sitios maliciosos, repórtalos a Inteco, Policía Nacional o Guardia Civil. Cuantas más alertas existan, antes se pueden retirar o bloquear campañas.
Suplantación de identidad y robo de cuentas: del día a día a lo crítico
En la Oficina de Seguridad del Internauta (OSI), canal de INCIBE, se ha observado un incremento de incidentes de suplantación y robo de cuentas. Este fenómeno se divide en dos grandes categorías: acceso indebido a cuentas reales (por contraseñas robadas, phishing o malware) y creación de perfiles falsos que imitan a personas o entidades para engañar a terceros.
En WhatsApp, destaca un fraude en cadena: el delincuente contacta haciéndose pasar por un conocido para pedirte que le reenvíes un código de seis dígitos que supuestamente llegó por error. En realidad, ese código es el que permite registrar tu cuenta en otro dispositivo. Tras introducirlo, el atacante toma el control de tu WhatsApp y puede activar la verificación en dos pasos para dificultar que lo recuperes.
Además, se han documentado casos en los que el atacante añade la cuenta a un segundo dispositivo; WhatsApp limita temporalmente la solicitud de códigos durante 12 horas, periodo en el que el delincuente accede a tus conversaciones y grupos, recolecta contactos y lanza nuevos fraudes suplantando tu identidad.
Para protegerte: nunca compartas códigos de verificación, activa la verificación en dos pasos de WhatsApp, usa contraseñas robustas y no aceptes solicitudes de amistad o mensajes sospechosos. Revisa opciones de privacidad y seguridad con frecuencia, limita lo que publicas y mantén a salvo datos sensibles como DNI, dirección o información bancaria.
El SIM swapping es otra amenaza seria: con datos personales obtenidos por ingeniería social, los atacantes consiguen un duplicado de tu SIM ante la operadora. De repente te quedas sin cobertura móvil y, cuando te conectas por wifi, llegan avisos de movimientos no autorizados. Si ocurre algo así, contacta de inmediato con tu operadora y aplica medidas como MFA en todas tus cuentas.
Qué hacer si te suplantan o te roban una cuenta
Actúa con método. Documenta lo ocurrido con capturas y registros. Avisar a tus contactos reduce el efecto dominó. Recupera el acceso cambiando credenciales y activando la autenticación múltiple. Revisa y corrige teléfonos y correos de recuperación que el atacante podría haber modificado. Denuncia a cada servicio afectado mediante sus canales oficiales y, si procede, presenta denuncia ante Policía Nacional o Guardia Civil. Desde INCIBE, la línea 017 ofrece ayuda en ciberseguridad para la ciudadanía.
CAPTCHA falsos que instalan malware: otra vía para robar datos y credenciales
En los últimos meses, se han detectado campañas que abusan de verificaciones CAPTCHA falsas. Mediante anuncios engañosos o redirecciones invisibles, los usuarios acaban en páginas fraudulentas que simulan errores de navegador o controles de seguridad. Allí se les pide copiar un comando —por ejemplo, en PowerShell— y ejecutarlo, lo que dispara la descarga de un malware silencioso capaz de sustraer credenciales, cookies y, especialmente, claves de criptomonedas.
Estas campañas han alcanzado decenas de miles de usuarios, con más de 140.000 interacciones en un par de meses y víctimas en países como España, Brasil, Italia y Rusia. Los delincuentes reparten varias familias de troyanos y amplían su alcance a portales de apuestas, comunidades de anime, intercambios de archivos o webs para adultos, aprovechando la apariencia legítima de los CAPTCHA como cebo.
Para minimizar el riesgo: si un anuncio ocupa la pantalla o te redirige a un sitio extraño, ciérralo; nunca copies ni ejecutes comandos que te indiquen páginas que no sean de total confianza; utiliza un antivirus efectivo; y usa un gestor de contraseñas para proteger tus credenciales. Mantenerse informado es, también, parte de la defensa.
Secuestro de DNS: cuando la dirección te lleva a la web del atacante
El secuestro del servidor de nombres de dominio (DNS) manipula cómo resuelve Internet los nombres de las webs. Si el atacante cambia el registro que asocia un dominio con su dirección IP, cuando el usuario escribe la dirección de su sitio favorito, en realidad le está llevando a un servidor controlado por el delincuente. El visitante, confiado, puede introducir credenciales o descargar software malicioso sin darse cuenta.
Para lograrlo, los atacantes pueden infectar equipos, tomar control de routers o interceptar conexiones DNS. El objetivo suele ser la suplantación (pharming) para robar datos, aunque también hay casos de uso por parte de ciertos gobiernos para redirigir a sitios aprobados. El resultado es el mismo: BusinessSite.com puede apuntar a la IP equivocada si el registro está comprometido, y los usuarios quedan expuestos.
Cómo reducir el riesgo general de secuestro de códigos, sesiones y cuentas
Hay patrones comunes que elevan la seguridad frente a Pixnapping, QRLJacking, secuestros de sesión o fraudes en mensajería:
- Mantén el sistema y las aplicaciones al día y prioriza parches de seguridad de Android, especialmente los que anuncian mitigaciones para canales laterales y fugas de pantalla.
- Instala apps solo desde tiendas oficiales y valora la reputación del desarrollador; en especial, revisa aplicaciones antirrobo. Si algo te parece raro, desinstala sin dudar y ejecuta un análisis antivirus.
- Evita que códigos o datos sensibles permanezcan visibles en pantalla; con llaves FIDO o aprobaciones push en vez de TOTP visibles. Oculta notificaciones con contenido delicado en la pantalla de bloqueo.
- Desconfía de códigos QR pegados en espacios públicos o enviados por correo. Examina su aspecto físico y revisa la URL antes de introducir datos. Configura el lector de QR para que no abra automáticamente los enlaces.
- No compartas códigos que te lleguen por SMS o apps y habilita la verificación en dos pasos en todos los servicios. Si pierdes cobertura sin motivo, llama a tu operadora ante posible SIM swapping.
- Para sesiones web: evita redes públicas, usa VPN si no hay alternativa, comprueba HTTPS, activa MFA y cierra sesión tras tareas sensibles; vigila sesiones activas y revoca dispositivos que no reconozcas.
- Si detectas fraude o sitios maliciosos, repórtalos a Inteco, Policía Nacional o Guardia Civil. Cuantas más alertas existan, antes se pueden retirar o bloquear campañas.
Preguntas habituales sobre Pixnapping y amenazas afines
¿A qué móviles afecta Pixnapping? Los investigadores lo demostraron en modelos recientes de Google (Pixel 6, 7, 8, 9) y en un Samsung Galaxy S25, y señalan que el canal lateral impacta a la mayoría de Android modernos. Por tanto, la superficie potencial es amplia, a la espera de mitigaciones más profundas.
¿Sirven de algo las actualizaciones actuales? Google lanzó CVE-2025-48561 para mitigar, pero las pruebas públicas indican que el ataque aún es viable. Se espera un parche adicional en el boletín de diciembre. Mantener el dispositivo al día reduce el riesgo, aunque la defensa completa puede requerir cambios del sistema más extensos.
¿Puede robar secretos que no se muestran? No. Si la información no se renderiza en pantalla, Pixnapping no puede capturarla. Por eso es importante minimizar la visualización de códigos TOTP o mostrarlos el menor tiempo posible.
¿Qué apps están en el punto de mira? Cualquier app que muestre información sensible en pantalla es una candidata. Las pruebas han incluido Gmail, cuentas de Google, Signal, Google Authenticator, Venmo y Google Maps, lo que demuestra que el problema es transversal y afecta tanto a mensajería como a autenticación y mapas.
¿Cómo se relaciona Pixnapping con QRLJacking o el secuestro de sesión? Todo forma parte del mismo ecosistema de amenazas orientadas a apropiarse de identidades digitales. Pixnapping va a por lo que se ve en tu pantalla; QRLJacking explota la confianza en QR; el secuestro de sesión aprovecha debilidades web; y WhatsApp/SMShing buscan tus códigos. Juntas, subrayan la necesidad de MFA robusto y hábitos prudentes.
La foto que dibujan todas estas técnicas es nítida: los atacantes priorizan lo visible, lo cómodo y lo confiado. Reducir superficie de exposición, endurecer la autenticación y vigilar lo que escaneamos o aprobamos tiene un impacto real en el riesgo. A falta de mitigaciones definitivas para canales laterales como Pixnapping, apoyarse en buenas prácticas y parches en cuanto salen es la mejor forma de ganar tiempo y mantener a raya el daño. Comparte esta información y así más personas conocerán el término.
Continúar leyendo...