CVE-2026-0073: RCE crítica sin interacción del usuario en ADB de Android — Parchea Android 14/15/16 ahora
El Boletín de Seguridad de Android de mayo de 2026 parchea CVE-2026-0073, una RCE zero-click en el demonio ADB que afecta a Android 14, 15 y 16. Un atacante en la misma red puede tomar control total sin ninguna interacción del usuario.
El Boletín de Seguridad de Android de mayo de 2026 parchea CVE-2026-0073, una vulnerabilidad crítica de ejecución remota de código sin necesidad de interacción del usuario en el componente System de Android. Cualquier dispositivo con Android 14, 15 o 16 que no haya aplicado el parche de seguridad del 1 de mayo de 2026 está expuesto. Sin tocar la pantalla. Sin descargar nada. Un atacante en la misma red local puede comprometer el dispositivo en silencio.
Qué es vulnerable
La causa raíz es un error lógico en adbd_tls_verify_cert(), la función dentro de auth.cpp que gestiona la autenticación TLS mutua para conexiones ADB inalámbricas. El demonio Android Debug Bridge — adbd — procesa solicitudes de autenticación para depuración inalámbrica sobre TCP. El fallo permite a un atacante saltarse por completo el paso de verificación del certificado, punto en el que se ejecuta código arbitrario con los permisos del demonio ADB. En la mayoría de dispositivos de producción, adbd funciona como root o un UID de sistema equivalente.
Vector de ataque
Clasificación CVSS: Crítica. El ataque no requiere privilegios del lado del atacante ni interacción del usuario del lado de la víctima — las dos propiedades que hacen a una vulnerabilidad especialmente peligrosa de parchear a escala.
El atacante debe estar en la misma red de capa 2 o en proximidad inalámbrica: Wi-Fi corporativo compartido, redes de hotel, aeropuertos, sedes de conferencias o cualquier entorno donde alguien comparte tu red local. Un handshake TLS manipulado y el shell queda abierto. El código de prueba de concepto circulaba en canales privados de investigación de seguridad antes del boletín público.
Versiones afectadas: Android 14, 15 y 16 (incluyendo Android 16-QPR2 y versiones intermedias). Android 13 y versiones anteriores no están listadas como afectadas.
El parche
Google publicó parches de emergencia el 5 de mayo de 2026, cuatro días después del boletín de seguridad. Las correcciones de código fuente en AOSP siguieron en 48 horas, permitiendo a los fabricantes acelerar sus propios ciclos de actualización.
Qué hacer ahora mismo
Comprueba el nivel de parche de seguridad de tu dispositivo: Ajustes → Información del teléfono → Versión de Android → Actualización de seguridad de Android. Debe indicar 1 de mayo de 2026 o posterior. Si no es así, actualiza de inmediato.
- Dispositivos Pixel: El parche llegó mediante la actualización over-the-air estándar de mayo. Ya está en tu dispositivo si las actualizaciones automáticas están activadas.
- Samsung Galaxy (One UI 8): Las actualizaciones de seguridad de mayo con el parche están distribuyéndose esta semana.
- OnePlus, Motorola, Xiaomi: Generalmente siguen 2-4 semanas después del boletín de Google. Atiende las notificaciones de actualización.
Para equipos de seguridad empresarial
Establece mediante MDM una política que exija el nivel de parche de seguridad de mayo de 2026 en todos los dispositivos Android corporativos antes del 1 de junio. Audita los dispositivos de campo que operen en infraestructura Wi-Fi compartida — son los objetivos de mayor riesgo. Si el ADB inalámbrico está activado en dispositivos de desarrollo o producción, prioriza esas actualizaciones.
Considera deshabilitar el ADB inalámbrico mediante perfil MDM incluso en dispositivos parcheados. Esta es la tercera vulnerabilidad crítica de producción procedente del ADB inalámbrico en cuatro años. El modelo de amenaza de la función fue diseñado para la comodidad del desarrollador, no para la gestión de flotas empresariales a escala. Parchea primero y luego evalúa si el ADB inalámbrico necesita estar en tu entorno en absoluto.