Una vulnerabilidad descubierta por Ledger en teléfonos Android con procesadores MediaTek permite acceder a datos sensibles en menos de un minuto, incluso con el móvil apagado.
El hallazgo lo realizó el equipo de hacking ético Donjon y la prueba se llevó a cabo con un Nothing CMF Phone 1. Lo preocupante no es solo el dispositivo usado en la demostración, sino el alcance potencial del problema la combinación afectada, procesadores MediaTek junto al Trusted Execution Environment de Trustonic, está presente en aproximadamente uno de cada cuatro smartphones Android del mundo. En la práctica, hablamos de un fallo que pone en riesgo información personal y también datos especialmente delicados, como las seed phrases de billeteras cripto.
Qué puede hacer un atacante y por qué importa de verdad
El impacto real de esta vulnerabilidad es fácil de entender un atacante con acceso físico al teléfono puede conectarlo por USB cuando está apagado y obtener claves criptográficas root antes de que Android llegue a cargarse. A partir de ahí, el problema deja de estar en una app concreta y pasa a afectar a todo el dispositivo.
Donjon logró saltarse por completo Android, recuperar el PIN, descifrar el almacenamiento y extraer seed phrases de varias billeteras cripto. Eso significa que no solo quedarían expuestas las apps financieras. También podrían verse comprometidos mensajes, fotos, datos de aplicaciones y otra información guardada en el móvil. Para un usuario común, el escenario práctico es claro perder el control del teléfono, aunque esté apagado, podría equivaler a perder acceso a buena parte de su vida digital.
El caso también pone en contexto una idea que a menudo se pasa por alto guardar datos privados en el móvil puede ser cómodo, pero no convierte al teléfono en una caja fuerte. Esto afecta especialmente a quienes usan el smartphone como lugar principal para almacenar credenciales sensibles o billeteras cripto.
"Esta investigación demuestra lo que llevamos tiempo advirtiendo los smartphones nunca fueron diseñados para ser cajas fuertes. Aunque esto puede corregirse, y animamos a todos los usuarios a actualizar con los últimos parches de seguridad. Si tus cripto están en un teléfono, su seguridad depende del eslabón más débil del hardware, firmware o software de ese teléfono." - Charles Guillemet, Chief Technology Officer de Ledger
Quién está afectado y qué conviene hacer ahora
La vulnerabilidad fue identificada como CVE-2025-20435. Ledger la comunicó a MediaTek y Trustonic mediante el proceso estándar de divulgación de 90 días. MediaTek confirmó que entregó actualizaciones a los fabricantes el 5 de enero de 2026, y la vulnerabilidad se hizo pública el 2 de marzo de 2026.
Para el usuario, la recomendación práctica es una y no admite demasiadas vueltas instalar cuanto antes las actualizaciones de seguridad disponibles. Esa es la medida indicada para mitigar posibles ataques. El matiz importante es que la protección no depende solo de que MediaTek haya preparado el parche, sino también de que el fabricante del móvil lo distribuya y de que el usuario lo instale.
Este episodio no obliga a caer en el alarmismo, pero sí deja una lección bastante concreta. Un teléfono sirve para muchas cosas y puede almacenar información crítica, pero eso no significa que sea el lugar más resistente para custodiar secretos especialmente sensibles. Cuando una sola falla de hardware o firmware puede abrir la puerta al resto, la comodidad de llevarlo todo en el móvil también tiene un coste claro en seguridad.