Falla en SDK EngageLab expone a 50 millones de usuarios de Android, incluyendo billeteras de criptomonedas

Una vulnerabilidad de seguridad, ya resuelta, en un kit de desarrollo de software (SDK) de Android llamado EngageLab SDK, ha puesto en riesgo a millones de usuarios, incluyendo a quienes utilizan billeteras de criptomonedas. El fallo permitía que aplicaciones en el mismo dispositivo saltaran las protecciones de seguridad de Android y accedieran a datos privados.

Cómo funciona la vulnerabilidad

El problema residía en una vulnerabilidad de redirección de 'intents'. En Android, un 'intent' es un mecanismo que permite a las aplicaciones solicitar acciones a otros componentes del sistema. La vulnerabilidad permitía que una aplicación maliciosa manipulara estos 'intents' para acceder a datos sensibles de otras aplicaciones que utilizaban el SDK de EngageLab.

• Una app maliciosa instalada en el dispositivo podía acceder a directorios internos de otra app que usara el SDK.
• Esto permitía el acceso no autorizado a datos confidenciales.

A quién afecta

El SDK de EngageLab ofrece un servicio de notificaciones push, utilizado por muchas aplicaciones para enviar notificaciones personalizadas a los usuarios. Según Microsoft, una cantidad importante de aplicaciones que usan este SDK pertenecen al ecosistema de criptomonedas y billeteras digitales. Se estima que más de 30 millones de instalaciones corresponden a apps de billeteras digitales afectadas. Si se incluyen otras apps que usan el mismo SDK, el número supera los 50 millones de instalaciones.

Aunque Microsoft no reveló los nombres de las aplicaciones afectadas, indicó que todas las apps detectadas con versiones vulnerables del SDK ya han sido eliminadas de la Google Play Store.

Solución y recomendaciones

EngageLab lanzó la versión 5.2.1 de su SDK en noviembre de 2025 para solucionar esta vulnerabilidad, después de un aviso responsable en abril de 2025. Se recomienda a los desarrolladores que integran este SDK actualizar a la última versión lo antes posible.

Qué significa esto para ti

Este incidente subraya la importancia de mantener actualizadas las aplicaciones y bibliotecas de terceros que utilizamos. Incluso fallos aparentemente pequeños en componentes compartidos pueden tener un impacto significativo en la seguridad de nuestros dispositivos y datos, especialmente en sectores sensibles como la gestión de activos digitales. Es crucial ser conscientes de los riesgos asociados a la cadena de suministro de software y tomar medidas para mitigar posibles vulnerabilidades.