¿Crees que tu pantalla de bloqueo es un muro infranqueable? Un fallo de seguridad asociado a algunos móviles Android con procesadores MediaTek ha puesto el foco justo en lo contrario, en lo que pasa antes de que Android termine de arrancar. La idea clave es simple, revisa el parche de seguridad y actualiza si tienes algo pendiente.
La vulnerabilidad se identifica como CVE-2026-20435 y se relaciona con el «preloader», una parte del software que se ejecuta al encender el teléfono. No es un ataque remoto, el atacante necesita acceso físico y un cable USB. Pero en un móvil perdido o robado, ese matiz importa menos de lo que parece.
Qué dice el aviso oficial
Los registros oficiales describen el problema como una filtración local de información. Según el National Vulnerability Database de NIST y la ficha de INCIBE-CERT, un error lógico en el «preloader» puede permitir leer identificadores únicos del dispositivo si alguien tiene el móvil en la mano. No hace falta que la víctima pulse nada y, en teoría, tampoco se requieren privilegios extra.
MediaTek incluyó este fallo en su boletín de seguridad de marzo de 2026 y lo marca con severidad media. En ese mismo documento, la compañía subraya que avisa a los fabricantes con antelación y afirma que «en este momento no tenemos constancia de explotación activa de estas vulnerabilidades en el mundo real». Es decir, hay parche, pero la velocidad con la que llega a cada móvil depende de cada marca.
Por qué el «preloader» es clave
El «preloader» es el primer tramo del arranque, antes de que aparezcan la pantalla de inicio y el PIN. Si lo comparas con una casa, es como poder tocar la instalación eléctrica antes de que se active la alarma. Una debilidad ahí puede saltarse capas que damos por sentadas.
Aquí entra el cifrado, que es lo que mantiene tus fotos y chats ilegibles si alguien extrae el almacenamiento. En un análisis, el investigador Pieter Arntz, de Malwarebytes, describe una demostración en la que, al conectar un móvil vulnerable por USB a un portátil, se logró recuperar el PIN, descifrar el almacenamiento y extraer datos sensibles en menos de un minuto. No es el tipo de ataque que ocurra sin que te enteres, pero sí uno que castiga los descuidos.
Qué móviles podrían estar afectados
MediaTek publica una lista extensa de chipsets afectados y ahí está el problema para el usuario. No se trata de un único modelo, sino de varias referencias usadas en muchos teléfonos y algunos dispositivos conectados. En su boletín aparecen chips habituales en gamas medias y de entrada, aunque la lista no se limita solo a móviles baratos.
Luego está la fragmentación de Android, que suena a palabra fea, pero es el día a día. MediaTek entrega el arreglo a los fabricantes, y cada fabricante lo integra a su ritmo en una actualización. Google, por su parte, explica en el Android Security Bulletin de marzo de 2026 cómo comprobar el nivel de parche y qué fechas de actualización se usan ese mes, pero no todas las correcciones de socios aparecen en ese listado.
Lo que está en discusión
Gran parte del debate gira alrededor del «Trusted Execution Environment» o TEE, una zona del chip pensada para guardar secretos como claves de cifrado. Algunas explicaciones públicas han señalado a Trustonic, uno de los proveedores habituales de TEE en el ecosistema Android. Trustonic ha respondido que el problema no estaría en su software y que el alcance real depende de cómo se implemente la cadena de arranque en cada dispositivo.
También hay ruido con los identificadores. En la base pública de CVE existe un registro reservado para CVE-2025-20435 sin detalles, mientras que CVE-2026-20435 sí tiene descripción completa y referencias oficiales. Para el usuario, la conclusión práctica es la misma, si tu móvil recibe una actualización del fabricante, instálala.
Cómo reducir el riesgo
Empieza por lo básico, entra en Ajustes, busca la sección de seguridad y comprueba si hay una actualización de sistema disponible. Si tu móvil lleva meses sin recibir parches, no es una acusación, es una pista. Puede que te interese no guardar ahí información especialmente delicada.
Luego están los hábitos que sí controlas. Evita dejar el móvil fuera de tu vista en lugares públicos, aunque sea un minuto, y usa un PIN largo en lugar de un patrón simple. También ayuda tener activadas funciones de localización y borrado remoto, por si el teléfono desaparece.
Y un recordatorio incómodo pero útil. Si guardas frases de recuperación o claves de criptomonedas, un móvil no es una caja fuerte, es un dispositivo generalista. Para eso, por lo general, funcionan mejor opciones diseñadas para aislar claves, como un monedero hardware o un almacenamiento fuera de línea.
El aviso oficial se ha publicado en el boletín de seguridad de productos de MediaTek.
