Si usas Android, toca actualizar. Google ha corregido dos vulnerabilidades explotadas como 0-day en el framework del sistema y otros 105 fallos de seguridad en su Android Security Bulletin de diciembre. La compañía advierte de explotación limitada y dirigida, por lo que la recomendación es parchear de inmediato para reducir el riesgo de compromiso en dispositivos móviles y flotas corporativas (BYOD/MDM).
Dos 0-day explotados en el framework de Android
Los fallos identificados como CVE-2025-48633 (divulgación de información) y CVE-2025-48572 (elevación de privilegios), ambos en el framework de Android, recibieron calificación de severidad alta. Según Google, existe evidencia de «limited, targeted exploitation», es decir, ataques selectivos y dirigidos. Los parches ya están disponibles y deben aplicarse cuanto antes.
El parche de diciembre suma 105 correcciones adicionales
Además de los dos 0-day, el paquete de seguridad corrige más de un centenar de vulnerabilidades. Google indica que siete de ellas alcanzan severidad crítica:
- El fallo más grave permitiría un remote denial of service (DoS) sin privilegios adicionales dentro del framework.
- Cuatro vulnerabilidades críticas de escalamiento de privilegios en el kernel: CVE-2025-48623, CVE-2025-48624, CVE-2025-48637 y CVE-2025-48638.
- Dos fallos críticos en componentes cerrados de Qualcomm: CVE-2025-47319 (puede permitir divulgación de información al exponer APIs de comunicación TA-to-TA a HLOS) y CVE-2025-47372 (desbordamiento de búfer crítico al leer una imagen ELF corrupta), según el advisory del fabricante.
La combinación de fallos en framework, kernel y componentes de proveedor subraya la necesidad de una gestión de parches continua en todo el ecosistema (hardware, software y firmware).
CISA añade los 0-day al catálogo KEV y fija plazos
La US Cybersecurity and Infrastructure Security Agency (CISA) incorporó CVE-2025-48633 y CVE-2025-48572 a su Known Exploited Vulnerabilities (KEV) Catalog. Las agencias federales deben parchear antes del 23 de diciembre, y el organismo insta a empresas y organizaciones a actuar con la misma urgencia para minimizar su superficie de ataque.
Contexto: otro 0-day en Chrome subraya la presión de los atacantes
Estos avisos llegan poco después de un parche de emergencia para CVE-2025-13223, un fallo de type confusion en el motor V8 de Google Chrome. Fue el séptimo 0-day del navegador en lo que va de año y ya está corregido. El patrón confirma una presión constante sobre tecnologías de uso masivo, desde navegadores hasta sistemas móviles.
Qué debes hacer ahora (usuarios y empresas)
- Actualiza Android desde Ajustes > Sistema > Actualización del sistema (o la ruta definida por tu fabricante/operador).
- Empresas: aceleren ventanas de mantenimiento, apliquen parches OTA en MDM/EMM, verifiquen inventario y cumplimiento, y refuercen monitorización en SOC.
- Actualiza Chrome a la última versión disponible para mitigar CVE-2025-13223.
Se esperan más actualizaciones durante el Patch Tuesday del 9 de diciembre. Mantener al día los dispositivos es clave para contener exploits activos y reducir el riesgo en entornos de ciberseguridad híbridos y de nube.
Lecturas relacionadas
- Google Chrome bug exploited as an 0-day – patch now or risk full system compromise
- Fortinet ‘fesses up to second 0-day within a week
- Stealthy browser extensions waited years before infecting 4.3M Chrome, Edge users with backdoors and spyware
- Miscreants are exploiting enterprise tech zero days more and more, Google warns
