Un hack de notificaciones invisibles en Android puede ejecutar acciones ocultas de aplicaciones mientras muestra enlaces falsos que parecen completamente seguros.

Un nuevo hallazgo en la seguridad de Android ha revelado una vulnerabilidad en el sistema de notificaciones que podría permitir a los hackers engañar a los usuarios para que abran enlaces no intencionados o activen acciones ocultas en aplicaciones. Según estudios, el problema radica en cómo Android interpreta ciertos caracteres Unicode dentro de las notificaciones, lo que genera una discrepancia entre el texto visible y lo que realmente procesa el sistema al aparecer la sugerencia de "Abrir enlace".

El riesgo principal proviene del uso de caracteres Unicode invisibles o especiales embebidos en URLs. Estos caracteres ocultos pueden alterar la forma en que Android interpreta el texto visible y el enlace accionable real. Por ejemplo, una notificación puede mostrar "amazon.com", pero el código subyacente podría abrir "zon.com", utilizando un carácter de espacio de ancho cero. Esto significa que la notificación puede lucir como "ama[]zon.com", donde el carácter oculto es interpretado por el motor de sugerencias como un separador, llevando a un sitio completamente diferente.

Los atacantes no solo pueden redirigir a los usuarios a sitios web, sino que también tienen la posibilidad de crear enlaces profundos que interactúan directamente con apps, como se demostró con un enlace acortado que generó una llamada en WhatsApp. Para que estos ataques sean menos detectables, los criminales cibernéticos pueden utilizar acortadores de URL y ocultar enlaces en textos que parecen confiables.

La situación se vuelve particularmente peligrosa cuando se combina esta vulnerabilidad con enlaces profundos que pueden activar silenciosamente acciones como enviar mensajes o realizar llamadas sin que el usuario lo desee. Las pruebas realizadas en dispositivos como el Google Pixel 9 Pro XL, Samsung Galaxy S25 y versiones anteriores de Android han mostrado que este comportamiento anómalo afecta a aplicaciones importantes como WhatsApp, Telegram, Instagram, Discord y Slack. Además, se han utilizado aplicaciones personalizadas para eludir los filtros de caracteres y validar el ataque en diversos escenarios.

Dado el carácter de esta vulnerabilidad, muchas defensas estándar pueden no ser efectivas. Incluso las mejores soluciones antivirus pueden pasar por alto estos exploits, ya que no siempre implican descargas de malware tradicionales. Los atacantes, en cambio, manipulan el comportamiento de la interfaz de usuario y aprovechan la configuración de los enlaces de aplicaciones. Por lo tanto, es fundamental contar con herramientas de protección de punto final que ofrezcan una detección más amplia basada en anomalías de comportamiento.

Para los usuarios que corren el riesgo de robo de credenciales o abuso de apps, confiar en servicios de protección contra el robo de identidad se vuelve crucial para monitorear actividades no autorizadas y proteger datos personales expuestos. Hasta que se implemente una solución formal, se recomienda a los usuarios de Android que se mantengan alerta con las notificaciones y enlaces, especialmente aquellos provenientes de fuentes desconocidas o acortadores de URL.