Redazione RHC : 17 septiembre 2025 10:45
Google ha cambiado su estrategia de actualizaciones de seguridad para Android, rompiendo su tradición de divulgar vulnerabilidades mensualmente por primera vez en una década. En su boletín de julio de 2025, la compañía no reportó ninguna vulnerabilidad, la primera vez en 120 publicaciones. Sin embargo, en septiembre, la lista incluyó 119 correcciones a la vez.
La razón no es que julio fuera «seguro», sino que Google está adoptando un nuevo modelo de Sistema de Actualización Basado en Riesgos (RBUS). Ahora, las actualizaciones mensuales solo contendrán correcciones para vulnerabilidades de «alto riesgo», es decir, aquellas explotadas activamente o que forman parte de cadenas de ataque conocidas. Las vulnerabilidades restantes se agruparán en publicaciones trimestrales principales: en marzo, junio, septiembre y diciembre. La compañía enfatiza que este enfoque simplificará el trabajo de los fabricantes de smartphones. Tendrán que integrar menos parches en las actualizaciones mensuales, lo que aumentará la probabilidad de su lanzamiento oportuno. Al mismo tiempo, los fabricantes podrán centrarse en actualizaciones trimestrales más extensas, que se convertirán en el canal principal para distribuir la mayoría de las correcciones.
Google enfatiza que anteriormente, muchas empresas limitaban las actualizaciones de seguridad a una frecuencia bimestral o trimestral, especialmente para los modelos más económicos. El nuevo calendario debería ayudar a uniformar la implementación y garantizar que los dispositivos estén protegidos al menos trimestralmente.
El ciclo tradicional de gestión de vulnerabilidades se mantiene igual. Los investigadores informan de los problemas detectados, Google los confirma y les asigna identificadores CVE. Los ingenieros desarrollan una solución y, si la vulnerabilidad es crítica y afecta a los componentes de Project Mainline, la actualización se puede distribuir directamente a través de la Actualización del Sistema de Google Play
El Boletín de Seguridad de Android, disponible tanto en versión pública como privada, sigue siendo un elemento clave. Este boletín se envía a los proveedores 30 días antes de su publicación para darles tiempo de probar los parches. Este período será ahora más largo para las versiones trimestrales, lo que genera preocupación entre los desarrolladores externos.
Por lo tanto, los representantes de GrapheneOS advierten: cuanto mayor sea el intervalo entre la distribución y la publicación, mayor será el riesgo de que se filtre información sobre vulnerabilidades que puedan ser explotadas por atacantes. Aunque, por ahora, esto sigue siendo una amenaza hipotética.
Otra desventaja del nuevo proceso es que el código fuente del parche ahora solo se publica para las actualizaciones trimestrales.
Esto complica aún más las cosas para la comunidad de ROMs personalizadas, que ya no podrá incluir parches mensuales de forma oportuna.
A pesar de los cambios, Google asegura que los usuarios cuyos dispositivos ya reciben actualizaciones mensuales seguirán recibiéndolas. Para otros, la transición a RBUS debería mejorar la previsibilidad y la frecuencia de las actualizaciones. «Android y Pixel corrigen vulnerabilidades mensualmente, pero siempre priorizamos las más riesgosas», declaró un portavoz de la compañía.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
