Una vulnerabilidad detectada en varios chips de Qualcomm podría permitir a un atacante comprometer por completo un dispositivo móvil o un equipo IoT. El fallo ha sido identificado por Kaspersky ICS CERT y afecta a componentes presentes en smartphones, tablets, vehículos conectados y otros sistemas embebidos. El alcance potencial es descrito como amplio. No se limita a un tipo de producto concreto, sino a varias familias de chips que llevan años integradas en dispositivos muy distintos.
El problema ha sido registrado como CVE-2026-25262. Según la información facilitada, fue notificado a Qualcomm en marzo de 2025. La compañía reconoció oficialmente la vulnerabilidad en abril de ese mismo año. Entre las series afectadas figuran Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50, aunque Kaspersky advierte de que otros chips basados en Qualcomm también podrían verse impactados.
La parte más delicada del hallazgo es su ubicación. El fallo reside en el BootROM, un firmware integrado a nivel de hardware que participa en las primeras fases del arranque del sistema. Eso complica su detección y también su mitigación. En determinados escenarios, un atacante con acceso físico al dispositivo podría eludir mecanismos de seguridad esenciales, alterar la cadena de arranque seguro y dejar abierta la puerta a infecciones persistentes que no siempre resultan fáciles de eliminar.
Acceso físico breve, impacto profundo y riesgo más allá del usuario final
Los analistas de Kaspersky han centrado su investigación en el protocolo Sahara, un sistema de comunicación de bajo nivel que entra en juego cuando un chip Qualcomm accede al modo Emergency Download o EDL. Ese modo se utiliza para reparar o restaurar dispositivos y actúa como primer enlace entre el equipo y un ordenador, incluso antes de que arranque el sistema operativo. A partir de ese proceso, Kaspersky ha demostrado que la vulnerabilidad podría aprovecharse para cargar software malicioso o puertas traseras en el procesador principal.
Las consecuencias, en caso de explotación, serían serias. Un atacante podría acceder a contraseñas, archivos, contactos o ubicación. También podría activar sensores como la cámara o el micrófono. En algunos casos, incluso podría tomar el control total del dispositivo. Kaspersky añade que bastarían unos minutos de acceso físico para comprometer el equipo. Además, el riesgo no se queda solo en el usuario final. La compañía advierte de posibles impactos en la cadena de suministro, el mantenimiento y la retirada de dispositivos.
La firma de seguridad recomienda aplicar controles estrictos de seguridad física. También señala que reiniciar el dispositivo no siempre basta, ya que un sistema comprometido podría simular ese reinicio sin ejecutarlo realmente. En esos casos, un apagado completo, incluida la descarga total de la batería cuando sea posible, ofrecería más garantías de un reinicio limpio.
Te interesa 👉 Los mejores antivirus que puedes instalar en tu equipo
El aviso vuelve a poner el foco en la fragilidad de los componentes de bajo nivel, especialmente cuando afectan a hardware muy extendido y a funciones críticas del arranque. No es un fallo que pueda explotarse de forma remota sin más, pero sí uno con un potencial elevado en escenarios de robo, manipulación física o ataques dirigidos. Y eso lo convierte en una vulnerabilidad especialmente sensible para móviles, sistemas industriales y cualquier dispositivo conectado que dependa de estos chips.
