Ejecución Remota de Código (RCE) "Zero-Click" en Android
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-UC) emite una alerta de severidad CRÍTICA ante el descubrimiento de múltiples vulnerabilidades en el sistema operativo Android.
La falla más grave permite a un atacante lograr la Ejecución Remota de Código (RCE) en el dispositivo afectado sin requerir ningún tipo de interacción por parte del usuario y sin necesitar privilegios previos. Además, se han parcheado vulnerabilidades de severidad alta que permiten la escalada local de privilegios y el acceso a información privada.
Dada la adopción masiva de dispositivos Android en nuestra comunidad universitaria, la aplicación del último parche de seguridad es de carácter urgente.
Detalle de las Vulnerabilidades Identificadas
| Identificador CVE | Puntuación CVSS v3.1 | Componente / Falla | Impacto Potencial |
| CVE-2026-0006 | 9.8 (CRÍTICA) | Desbordamiento de búfer en región heap. | Ejecución Remota de Código (RCE). El atacante toma control del sistema sin interacción del usuario. |
| CVE-2026-0037 | 8.4 (ALTA) | Corrupción de memoria (error lógico en ffa.c). | Escalada Local de Privilegios. Un actor malicioso local puede elevar sus permisos sin interacción del usuario. |
| CVE-2026-0047 | 8.4 (ALTA) | Manejo incorrecto de permisos (ActivityManagerService.java). | Escalada de Privilegios y Fuga de Datos. Acceso no autorizado a información confidencial. |
Dispositivos Afectados
El riesgo abarca a todo el ecosistema móvil de Google:
- Sistemas Afectados: Dispositivos móviles y tabletas que ejecuten el sistema operativo Android.
- Condición Vulnerable: Equipos que cuenten con un nivel de parche de seguridad anterior al 05 de marzo de 2026.
Recomendación de Seguridad
El CSIRT-UC insta a todos los estudiantes, docentes y personal administrativo a verificar y actualizar sus dispositivos móviles de inmediato:
- Verifique las actualizaciones: Diríjase a Configuración (o Ajustes) $\rightarrow$ Sistema $\rightarrow$ Actualización del sistema (la ruta puede variar ligeramente según la marca, por ejemplo: Configuración $\rightarrow$ Seguridad y privacidad $\rightarrow$ Actualizaciones).
- Descargue e instale: Busque la actualización correspondiente al parche de seguridad de marzo de 2026 e inicie la descarga.
- Reinicie el equipo: El dispositivo debe reiniciarse obligatoriamente para aplicar los parches a nivel del núcleo del sistema operativo.
Referencias Oficiales
- Boletín de Seguridad de Android (Marzo 2026): source.android.com/docs/security/bulletin/2026/2026-03-01
- Registros CVE:
CSIRT-UC