Una vulnerabilidad en chips Qualcomm podría permitir el control total de dispositivos móviles o sistemas IoT
12 de mayo, 2026
Una vulnerabilidad detectada en determinados chips de Qualcomm podría permitir a los ciberdelincuentes acceder a datos sensibles, activar sensores como la cámara o el micrófono e incluso tomar el control total del dispositivo. El fallo, identificado por Kaspersky ICS CERT, afecta a componentes ampliamente utilizados en smartphones, tablets, vehículos conectados y dispositivos IoT, lo que amplía su impacto potencial. El problema se encuentra en el BootROM, un firmware integrado a nivel de hardware, lo que dificulta su detección y mitigación. En determinados escenarios, un atacante con acceso físico al dispositivo podría eludir mecanismos clave de seguridad y comprometer la cadena de arranque, abriendo la puerta a ataques persistentes y difíciles de eliminar.
En esta ocasión la vulnerabilidad afecta a las series Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50, y fue notificada a Qualcomm en marzo de 2025. La compañía reconoció oficialmente el problema en abril de 2025, y ha sido registrado como CVE-2026-25262. Otros chips basados en Qualcomm también podrían verse afectados.
Los analistas de Kaspersky han analizado el protocolo Sahara, un sistema de comunicación de bajo nivel que se activa cuando un chip Qualcomm entra en modo Emergency Download (EDL), un modo especial de recuperación utilizado para reparar o restaurar dispositivos como smartphones. Este protocolo actúa como primer punto de conexión entre el dispositivo y un ordenador, permitiendo cargar software antes de que se inicie el sistema operativo.
A partir de este análisis, Kaspersky ha demostrado que una vulnerabilidad en este proceso podría permitir a un ciberdelincuente con acceso físico al dispositivo eludir protecciones clave de seguridad, comprometer la cadena de arranque seguro y, en algunos casos, instalar software malicioso o puertas traseras en el procesador principal. Esto podría derivar en el control total del dispositivo. En el caso de smartphones o tablets, implicaría además el acceso a información sensible como contraseñas, archivos, contactos, ubicación o incluso la cámara y el micrófono.
Un ciberdelincuente solo necesitaría unos minutos de acceso físico al dispositivo para comprometerlo. Los analistas advierten además de que el riesgo no se limita al usuario final, sino que también puede afectar a la cadena de suministro.
“Vulnerabilidades como esta pueden permitir a los ciberdelincuentes desplegar malware difícil de detectar y eliminar. En la práctica, esto podría facilitar la recopilación encubierta de datos o la manipulación del comportamiento del dispositivo durante largos periodos de tiempo. Aunque reiniciar el dispositivo puede parecer una solución eficaz, no siempre lo es: los sistemas comprometidos pueden simular un reinicio sin realizarlo realmente. En estos casos, solo un apagado completo, incluida la descarga total de la batería, garantiza un reinicio limpio”, explica Sergey Anufrienko, experto en seguridad de Kaspersky ICS CERT.
Kaspersky recomienda tanto a organizaciones como a usuarios particulares aplicar controles estrictos de seguridad física sobre los dispositivos en todas las fases de su ciclo de vida, incluyendo suministro, mantenimiento y retirada. Reiniciar el dispositivo mediante la interrupción total del suministro eléctrico al chip afectado (si es posible) o la descarga completa de la batería puede ayudar a eliminar el malware en caso de infección.
Para más información, consulta el aviso completo en la web de Kaspersky ICS CERT
Kaspersky ICS CERT
Kaspersky ICS CERT se centra en la identificación y mitigación de amenazas, tanto potenciales como existentes, en sistemas de automatización industrial y en el Internet Industrial de las Cosas (IIoT). El equipo ha identificado y contribuido a resolver cientos de vulnerabilidades en productos OT/IoT ampliamente utilizados y en componentes clave, reforzando la seguridad y resiliencia de estos sistemas frente a ciberataques avanzados.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha frente a ciberamenazas emergentes y ataques dirigidos, la amplia experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma de forma constante en soluciones y servicios innovadores para proteger a particulares, empresas, infraestructuras críticas y gobiernos de todo el mundo. El porfolio completo de seguridad de la compañía incluye una protección líder de la vida digital para dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para hacer frente a amenazas digitales sofisticadas y en constante evolución. Ayudamos a millones de usuarios y a cerca de 200.000 clientes corporativos a proteger lo que más les importa. Más información en www.kaspersky.es
La entrada <strong>Una vulnerabilidad en chips Qualcomm podría permitir el control total de dispositivos móviles o sistemas IoT</strong> se publicó primero en El negocio – Guía Informativa para Autónomos y Pymes.
Artículos relacionados
Publicidad
