Error de Android deja 30 millones de carteras de criptomonedas abiertas a ataques: Analistas de Microsoft

Una actualización ha estado disponible durante casi un año, pero millones de usuarios de Android aún pueden estar ejecutando aplicaciones vulnerables de monederos de criptomonedas, dejando sus fondos y claves privadas expuestos a una falla de seguridad conocida.

El Equipo de Investigación de Seguridad de Defender de Microsoft hizo pública la semana pasada los detalles de una vulnerabilidad que detectó por primera vez en abril de 2025. La falla residía dentro de un componente de software ampliamente utilizado llamado SDK EngageLab, versión 4.5.4.

Debido a que ese SDK está integrado en miles de aplicaciones de Android, una sola aplicación maliciosa podría desencadenar una reacción en cadena que llegara mucho más allá de ella misma.

Cómo Funciona El Ataque

El método se llama “redirigido de intenciones”. La aplicación del atacante envía un mensaje especialmente diseñado a cualquier aplicación que ejecute la versión defectuosa del SDK. Una vez que ese mensaje llega, la aplicación objetivo es engañada para entregarle acceso de lectura y escritura a sus propios datos, incluyendo frases semilla almacenadas y direcciones de monedero.

El sistema de sandbox integrado en Android, que normalmente impide que las aplicaciones vean los datos de otras, fue completamente eludido. Según Microsoft, el ataque afectó a más de 50 millones de aplicaciones en el ecosistema Android, de las cuales aproximadamente 30 millones eran monederos de criptomonedas.

La vulnerabilidad no requería que el usuario hiciera algo incorrecto. Sin enlaces sospechosos. Sin páginas de phishing. Solo tener instaladas las aplicaciones equivocadas al mismo tiempo era suficiente.

Respuesta de Microsoft y Google

Microsoft actuó rápidamente tras su descubrimiento. Para mayo de 2025, la compañía había involucrado a Google y al Equipo de Seguridad de Android en la respuesta. EngageLab lanzó una versión corregida — SDK 5.2.1 — poco después.

Los informes indican que tanto Microsoft como Google han dirigido a los usuarios sobre cómo verificar si sus aplicaciones de monedero han sido actualizadas a través de Google Play Protect.

Los funcionarios también señalaron una preocupación más amplia: las aplicaciones instaladas como archivos APK desde fuera de la Play Store tienen un riesgo mayor, ya que evaden las verificaciones de seguridad que Google aplica a las aplicaciones listadas en su mercado oficial.

Qué Deben Hacer los Usuarios Ahora

Para la mayoría de los usuarios que actualizan sus aplicaciones regularmente, el riesgo probablemente ya pasó. Pero para quienes no han actualizado desde mediados de 2025, la acción recomendada va más allá de simplemente actualizar la aplicación.

Los equipos de seguridad aconsejan a esos usuarios mover sus fondos a monederos completamente nuevos, generados con frases semilla frescas. Cualquier monedero que estuvo activo y sin parchear durante la ventana de exposición debe considerarse potencialmente comprometido.

La divulgación se produce junto con una vulnerabilidad separada en el chip de Android detectada el mes pasado y una nueva iniciativa del Tesoro de EE. UU. que une a agencias gubernamentales con empresas de criptomonedas para compartir información sobre amenazas de ciberseguridad, lo que indica que la seguridad móvil en el espacio cripto está llamando la atención en los niveles más altos.

Imagen destacada de Bleeping Computer, gráfico de TradingView