Si tienes un móvil Android, este es de esos momentos en los que conviene parar lo que estás haciendo y entrar en los ajustes, porque Google ha publicado una actualización que tapa 124 fallos de seguridad y uno de ellos ya se está usando contra usuarios reales. No es una alarma de manual ni un parche rutinario más. Hay un agujero concreto, con nombre y apellidos, que alguien explota ahí fuera. La vulnerabilidad se identifica como CVE-2025-48595 y, según recoge NoteBookCheck a partir del boletín de seguridad de Google, vive en el Android Framework, en lo más hondo del sistema operativo.
Eso la vuelve especialmente peligrosa: deja a un atacante elevar privilegios en el dispositivo sin que la víctima toque nada. No hace falta pinchar un enlace, ni instalar nada, ni caer en ningún engaño. El fallo trabaja solo. Una vulnerabilidad que ya se está explotando Google ha reconocido que dispone de pruebas de ataques dirigidos a pequeña escala, aunque no ha desvelado quién está detrás ni cómo se aprovecha exactamente el agujero.
Esa reserva es lo habitual mientras un fallo sigue vivo, porque dar detalles equivale a repartir el manual entre quienes aún no lo conocen. Lo que sí está claro es a quién toca: están expuestos los móviles con Android 14, 15 y 16, un rango ancho que multiplica el número de dispositivos en riesgo. Que el fallo viva en el Framework y no en una aplicación concreta es lo que lo agrava. No depende de que el usuario instale nada raro ni de que visite una web turbia: la puerta está en una capa que todos los dispositivos comparten.
Por eso la única defensa real es el parche, y ese parche llega repartido en dos fechas distintas. El 1 de junio de 2026 Google liberó las correcciones de los componentes principales del sistema, con dieciocho de ellas catalogadas como críticas. Cuatro días después, el 5 de junio, llegó el turno del kernel y de los controladores de los fabricantes de chips Qualcomm y MediaTek. Quien quiera bajar al detalle de este fallo concreto puede repasar cómo se solucionó este agujero crítico con más calma.
Por qué tu móvil puede seguir desprotegido A partir de ahí asoma el viejo conocido de Android: la fragmentación deja móviles sin protección. La actualización lleva semanas disponible, pero estar disponible y estar instalada son cosas distintas. Los Pixel de Google son los primeros en recibir el parche, aunque de forma escalonada, y los Samsung Galaxy actuales suelen tardar apenas unos días. El problema vive en otro tramo del mercado, más abajo y más callado.
Para un teléfono de gama media que ya carga dos años a la espalda, la espera puede estirarse semanas o incluso meses. Esa es justo la razón por la que muchos usuarios siguen sin instalar la actualización, pese a que técnicamente lleva semanas a su alcance. El fallo está corregido en el código, pero ese código no ha llegado a su pantalla. Comprobar tu situación lleva menos de un minuto.
Entra en Ajustes, busca Seguridad y privacidad, después Sistema y actualizaciones, y revisa el nivel de parche de seguridad. Si aparece la fecha del 1 de junio de 2026 o del 5 de junio de 2026, estás cubierto; si no, toca actualizar a mano. Para hacerlo sobre seguro tienes a tiro esta guía para comprobar el nivel de parche en cualquier dispositivo.