Kaspersky ICS CERT ha revelado oficialmente una grave vulnerabilidad a nivel de hardware que afecta a una amplia gama de chipsets Qualcomm Snapdragon. Presentado públicamente en la conferencia Black Hat Asia 2026 el 23 de abril, este exploit -rastreado como CVE-2026-25262- ha causado conmoción en la comunidad tecnológica. Originalmente confirmado por Qualcomm en abril de 2025, los detalles son ahora totalmente públicos, revelando una peligrosa puerta trasera que puede conducir a una catastrófica pérdida de datos y a comprometer por completo el dispositivo.
El protocolo Sahara y la explotación de la BootROM
La vulnerabilidad reside en lo más profundo de la BootROM, la primera pieza de firmware que se ejecuta a nivel de hardware cuando se enciende un dispositivo. Como este código está codificado en el silicio, es notoriamente difícil, si no imposible, parchearlo mediante actualizaciones de software estándar por aire (OTA).
Los investigadores de seguridad encontraron un fallo crítico en la comunicación de Qualcomm a través del protocolo Sahara. Para quienes estén familiarizados con el flasheo profundo de dispositivos, el protocolo Sahara es el sistema de comunicación de bajo nivel utilizado durante el modo de Descarga de Emergencia (EDL). Está diseñado para cargar software esencial incluso antes de que arranque el sistema operativo principal.
Aprovechando este fallo, los atacantes que obtienen un breve acceso físico a un dispositivo (a menudo sólo unos minutos) pueden eludir por completo las protecciones de la cadena de arranque seguro. Una vez comprometido, el procesador de la aplicación queda violado, lo que permite al atacante:
-
Desplegar puertas traseras maliciosas y persistentes.
-
Extraer datos de usuario altamente sensibles, como contraseñas, archivos, contactos y ubicación en tiempo real.
-
Secuestrar los sensores del dispositivo, abriendo la puerta a la vigilancia activa por cámara y micrófono sin el conocimiento del usuario.
Lo que lo hace especialmente insidioso es la capacidad del malware de simular un falso reinicio del sistema para engañar al usuario. Los expertos advierten de que el código malicioso es increíblemente difícil de detectar y, en algunos casos, para eliminar por completo la amenaza es necesario agotar por completo la batería del dispositivo para borrar la memoria volátil.
Chipsets y dispositivos afectados
Aunque los procesadores de los buques insignia modernos, como el Snapdragon 8 Elite, cuentan con arquitecturas de seguridad significativamente reforzadas, esta vulnerabilidad afecta gravemente a componentes heredados y de gama media ampliamente distribuidos.
Chipsets Qualcomm vulnerables:
-
MSM8916 (Snapdragon 410) (Xiaomi REDMI 2)
- SDX50 (Xiaomi Mi MIX 3 5G y Mi 9 Pro 5G)
-
MDM9x07
-
MDM9x45 (Xiaomi Mi 5, Mi 5s, Mi 5s Plus, Mi Note 2, Mi MIX)
-
MDM9x65
-
MSM8909
- MSM8952
Amenazas del mundo real
Aunque la necesidad de acceso físico mitiga el riesgo de un ciberataque remoto a gran escala, el peligro para la cadena de suministro, la logística de mantenimiento de los equipos y las personas objetivo es inmenso. Un dispositivo infectado se convierte esencialmente en una herramienta de vigilancia totalmente comprometida. Dado que el objetivo es el hardware utilizado en todo tipo de dispositivos, desde teléfonos de consumo REDMI hasta sistemas industriales IoT, el alcance de la amenaza es enorme.
