Los hackers están usando Unicode invisible para engañar a Android y que abra enlaces peligrosos en notificaciones
El enlace parece normal, pero Android abre algo diferente sin aviso o consentimiento. Incluso aplicaciones confiables como WhatsApp e Instagram son vulnerables a este truco oculto.
Un fallo de seguridad en el sistema de notificaciones de Android podría permitir que actores maliciosos engañen a los usuarios para que abran enlaces no deseados o activen acciones ocultas en aplicaciones, advierten expertos.
Según una investigación de io-no, el problema está en cómo Android interpreta ciertos caracteres Unicode en las notificaciones. Esto crea una diferencia entre lo que el usuario ve y lo que el sistema procesa cuando aparece la opción "Abrir enlace".
Lo que ves no es siempre lo que obtienes
El problema surge por el uso de caracteres Unicode invisibles o especiales insertados en URLs. Al estar en un mensaje, estos caracteres hacen que Android interprete el texto visible y el enlace real de manera distinta.
Por ejemplo, una notificación puede mostrar "amazon.com", pero el código oculto abre "zon.com" debido a un espacio de ancho cero insertado. La notificación muestra "ama[]zon.com" (con el carácter oculto), pero el sistema lo interpreta como un separador y abre un sitio completamente diferente.
En algunos casos, los atacantes pueden redirigir no solo a sitios web, sino también a "deep links" que interactúan directamente con aplicaciones. El informe demostró cómo una URL acortada inofensiva podía iniciar una llamada en WhatsApp.
Para hacer los ataques menos detectables, los hackers usan acortadores de enlaces y los ocultan en texto que parece confiable. Este fallo se vuelve especialmente peligroso con los "deep links", que pueden activar acciones como mensajes, llamadas o abrir secciones internas de apps sin que el usuario lo note.
Pruebas en dispositivos como el Google Pixel 9 Pro XL, Samsung Galaxy S25 y versiones antiguas de Android mostraron que este problema afecta a apps importantes como WhatsApp, Telegram, Instagram, Discord y Slack.
Dada la naturaleza de este fallo, muchas defensas estándar podrían no funcionar. Incluso los mejores antivirus podrían pasar por alto estos ataques, ya que no siempre implican descargas de malware tradicional.
En su lugar, los atacantes manipulan el comportamiento de la interfaz y explotan configuraciones de enlaces. Por eso, se recomienda usar herramientas de protección de endpoints, que detectan anomalías de comportamiento.
Para usuarios en riesgo de robo de credenciales, es crucial usar servicios de protección contra robo de identidad para monitorear actividades sospechosas.
Hasta que se solucione formalmente, los usuarios de Android deben ser cautelosos con notificaciones y enlaces, especialmente de fuentes desconocidas o acortadores de URLs.
También podría interesarte