Trustonic niega ser el origen de una vulnerabilidad en móviles Android con MediaTek que permite robar el PIN en segundos

Trustonic destacó que el fallo de seguridad detectado por los investigadores no se presenta en dispositivos de otros fabricantes de procesadores donde se emplea la misma versión de su software Kinibi. Según informó Europa Press, la compañía subrayó que su producto no está presente en todos los chipsets de MediaTek, lo que ha llevado a considerar que la causa podría ser inherente a la plataforma MediaTek y no a su solución de Entorno de Ejecución Confiable (TEE).

La polémica surgió después de que el equipo de ciberseguridad Ledger Donjon anunciara la detección de una vulnerabilidad clasificada como CVE-2025-20435 en dispositivos Android equipados con procesadores MediaTek. De acuerdo con Europa Press, los expertos determinaron que el fallo permite extraer información sensible como el PIN del teléfono o claves de recuperación en menos de un minuto, incluso si el dispositivo se encuentra apagado. Según las pruebas realizadas, los atacantes necesitarían nada más conectar el aparato a un ordenador portátil para obtener las credenciales en 45 segundos.

El director de tecnología de Ledger Donjon, Charles Guillemet, difundió por la red social X la información relacionada con el hallazgo. Mencionó que la vulnerabilidad se detectó específicamente en un Nothing CMF Phone 1, un teléfono móvil Android que utiliza procesador MediaTek. Las investigaciones atribuyen el origen del problema al funcionamiento del software Kinibi de Trustonic, encargado de gestionar el TEE en algunos dispositivos. El TEE, según explicó Europa Press, es una sección segura dentro del procesador dedicada a proteger detalles confidenciales como el PIN, claves de cifrado o datos biométricos del usuario.

Pese a las acusaciones, Trustonic respondió mediante declaraciones a Android Authority negando que su software haya originado la vulnerabilidad. La empresa insistió que no se ha registrado el mismo inconveniente en otros entornos donde Kinibi opera sobre procesadores distintos a MediaTek. Además, no confirmó que el Nothing CMF Phone 1 haya incorporado su tecnología, y reiteró que su solución no está presente en todos los procesadores desarrollados por MediaTek. Según publicó Europa Press, Trustonic indicó que la anomalía podría ser exclusiva de ciertos componentes de hardware y no de su software de seguridad.

En relación con las acciones adoptadas tras el descubrimiento, Europa Press reportó que MediaTek informó al grupo Ledger Donjon sobre la distribución de parches de seguridad a los fabricantes de dispositivos afectados desde el pasado 5 de enero. De este modo, los teléfonos actualizados deberían haber recibido ya la corrección necesaria para subsanar la brecha. Persisten dudas sobre si la vulnerabilidad ha sido explotada de manera activa hasta este momento, pues no se cuenta con datos que lo confirmen.

Los sucesos reflejan la complejidad de identificar la responsabilidad en incidentes que implican tecnologías integradas de múltiples empresas. El hecho de que el TEE de Trustonic y el procesador de MediaTek coincidan en ciertos dispositivos lleva a la necesidad de un análisis detallado para determinar el origen exacto de un fallo de seguridad. Ledger Donjon, por su parte, señaló en su investigación la potencial exposición de millones de teléfonos Android con procesadores MediaTek, resaltando la magnitud del asunto.

Esta situación pone de manifiesto la importancia de una colaboración entre fabricantes y desarrolladores de software ante la detección y corrección de vulnerabilidades que pueden afectar la protección de datos personales y confidenciales en dispositivos móviles. Según consignó Europa Press, la actualización de los sistemas operativos y la distribución de parches a tiempo constituyen herramientas fundamentales para mitigar estos riesgos. Mientras tanto, la controversia sobre el origen preciso del fallo y el alcance real de los dispositivos expuestos continúa abierta en la industria tecnológica.