Una vulnerabilidad detectada en determinados chips de Qualcomm podría permitir a los ciberdelincuentes acceder a datos sensibles, activar sensores como la cámara o el micrófono e incluso tomar el control total del dispositivo. El fallo, identificado por Kaspersky ICS CERT, afecta a componentes ampliamente utilizados en smartphones, tablets, vehículos conectados y dispositivos IoT, lo que amplía su impacto potencial. El problema se encuentra en el BootROM, un firmware integrado a nivel de hardware, lo que dificulta su detección y mitigación. En determinados escenarios, un atacante con acceso físico al dispositivo podría eludir mecanismos clave de seguridad y comprometer la cadena de arranque, abriendo la puerta a ataques persistentes y difíciles de eliminar.

En esta ocasión la vulnerabilidad afecta a las series Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50, y fue notificada a Qualcomm en marzo de 2025. La compañía reconoció oficialmente el problema en abril de 2025, y ha sido registrado como CVE-2026-25262. Otros chips basados en Qualcomm también podrían verse afectados.

Los analistas de Kaspersky han analizado el protocolo Sahara, un sistema de comunicación de bajo nivel que se activa cuando un chip Qualcomm entra en modo Emergency Download (EDL), un modo especial de recuperación utilizado para reparar o restaurar dispositivos como smartphones. Este protocolo actúa como primer punto de conexión entre el dispositivo y un ordenador, permitiendo cargar software antes de que se inicie el sistema operativo.

A partir de este análisis, Kaspersky ha demostrado que una vulnerabilidad en este proceso podría permitir a un ciberdelincuente con acceso físico al dispositivo eludir protecciones clave de seguridad, comprometer la cadena de arranque seguro y, en algunos casos, instalar software malicioso o puertas traseras en el procesador principal. Esto podría derivar en el control total del dispositivo. En el caso de smartphones o tablets, implicaría además el acceso a información sensible como contraseñas, archivos, contactos, ubicación o incluso la cámara y el micrófono.

Un ciberdelincuente solo necesitaría unos minutos de acceso físico al dispositivo para comprometerlo. Los analistas advierten además de que el riesgo no se limita al usuario final, sino que también puede afectar a la cadena de suministro.

“Vulnerabilidades como esta pueden permitir a los ciberdelincuentes desplegar malware difícil de detectar y eliminar. En la práctica, esto podría facilitar la recopilación encubierta de datos o la manipulación del comportamiento del dispositivo durante largos periodos de tiempo. Aunque reiniciar el dispositivo puede parecer una solución eficaz, no siempre lo es: los sistemas comprometidos pueden simular un reinicio sin realizarlo realmente. En estos casos, solo un apagado completo, incluida la descarga total de la batería, garantiza un reinicio limpio”, explica Sergey Anufrienko, experto en seguridad de Kaspersky ICS CERT.

Kaspersky recomienda tanto a organizaciones como a usuarios particulares aplicar controles estrictos de seguridad física sobre los dispositivos en todas las fases de su ciclo de vida, incluyendo suministro, mantenimiento y retirada. Reiniciar el dispositivo mediante la interrupción total del suministro eléctrico al chip afectado (si es posible) o la descarga completa de la batería puede ayudar a eliminar el malware en caso de infección.