• 2 min de lectura
Fallo de Gemini elude el PIN de la pantalla de bloqueo de Android
Un fallo multitáctil en Android 16 puede permitir a los ladrones usar Gemini para enviar mensajes SMS o por WhatsApp sin un PIN. Google dice que una solución se está desplegando.

Imagen: The Register
Un gesto multitáctil específico puede permitir que alguien con acceso físico a un teléfono con Android 16 use Gemini desde la pantalla de bloqueo para enviar mensajes SMS o por WhatsApp sin introducir el PIN del dispositivo. Google afirma que ya ha implementado una solución y que su despliegue total estaba previsto para esta semana.
Desde mayo, The Register ha recibido múltiples informes de usuarios que eluden la autenticación del dispositivo en teléfonos con Android 16 y con Gemini habilitado en la pantalla de bloqueo. El problema se distingue de fallos similares basados en Gemini que permiten eludir la pantalla de bloqueo en Android, reportados desde septiembre de 2025.
Cómo funciona la elusión de la pantalla de bloqueo con Gemini
El fallo aparece cuando el propietario del dispositivo ha revocado el acceso de Gemini a aplicaciones como Messages. Si un usuario no autenticado pide a Gemini que envíe un SMS desde la pantalla de bloqueo, el asistente le solicita que abra la aplicación correspondiente. Elegir «Continuar» normalmente desencadena una solicitud del PIN.
Pero pulsar «Continuar» al mismo tiempo que el botón «Agregar adjunto» de Gemini puede eludir ese paso de autenticación, permitiendo que el mensaje se envíe de todas formas.
El atacante puede entonces usar los avisos de Gemini para reconectar el acceso a otras aplicaciones que previamente estaban deshabilitadas en Settings. Por ejemplo, introducir «@WhatsApp» en el campo de texto de Gemini puede habilitar el acceso de WhatsApp sin un PIN. Tras introducir el PIN correcto más tarde, los Settings del dispositivo pueden mostrar que WhatsApp está conectado a Gemini aunque nunca se completó el paso de autenticación esperado.

Recomendado
El sabotaje de datos meteorológicos amenaza los pronósticos de IA
La explotación requiere acceso físico al teléfono. Aunque eso limita su uso en muchos escenarios, The Register dijo que el riesgo es más significativo en medio de robos de teléfonos —especialmente en el Reino Unido— y podría permitir el envío de SMS convincentes usados en estafas, incluidos supuestos secuestros.
Un portavoz de Google confirmó que el problema es conocido y dijo que la compañía ya había implementado una solución. Google también afirmó que el fallo no es exclusivo de Pixel, a pesar de informes que no pudieron reproducirlo en dispositivos Samsung, pero no identificó los fabricantes, modelos o versiones de Android afectados.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía The Register


