TL;DR

  • Investigadores de seguridad de Microsoft descubrieron una grave vulnerabilidad de "redirección de intenciones" en EngageLabs EngageSDK, utilizada por billeteras cripto en Android
  • Más de 30 millones de instalaciones de billeteras cripto estuvieron expuestas — un total de más de 50 millones de instalaciones en todas las aplicaciones afectadas
  • Una versión actualizada del SDK (5.2.1) no fue lanzada hasta el 3 de noviembre de 2025 — siete meses después del descubrimiento
  • A partir del 9 de abril de 2026, según Microsoft, no hay evidencia conocida de que la vulnerabilidad haya sido explotada en la práctica

Microsoft Descubre Vulnerabilidad Crítica en el SDK de Android

El Equipo de Investigación de Seguridad de Microsoft Defender publicó recientemente los hallazgos de una investigación de seguridad realizada en abril de 2025. Los investigadores descubrieron una grave vulnerabilidad en EngageSDK de EngageLab — una biblioteca de terceros utilizada principalmente para gestionar notificaciones push y funciones de mensajería en aplicaciones móviles.

La vulnerabilidad, ubicada en la versión 4.5.4 del SDK, está clasificada como un fallo de "redirección de intenciones". Esto significa que una aplicación maliciosa instalada en el mismo dispositivo podría potencialmente manipular y redirigir la comunicación entre aplicaciones — obteniendo así acceso a información sensible normalmente protegida por la arquitectura de seguridad de Android.

En el peor de los casos, los atacantes podrían haber obtenido claves privadas, frases semilla y direcciones de billetera pertenecientes a usuarios de criptomonedas, según la cobertura del caso por parte de Bitcoinist.

30 Millones de Billeteras Cripto Expuestas por un Fallo de Android

Exposición Masiva — 50 Millones de Instalaciones en Total

El alcance de la vulnerabilidad es significativo. Los investigadores de Microsoft estiman que más de 30 millones de instalaciones de billeteras cripto por sí solas utilizaban versiones vulnerables de EngageSDK. Incluyendo otras aplicaciones construidas con la misma biblioteca, la cifra total de exposición asciende a más de 50 millones de instalaciones.

30M+
Billeteras Cripto Expuestas
50M+
Instalaciones Totales Afectadas

Microsoft notificó a EngageLab sobre el hallazgo en abril de 2025. El Equipo de Seguridad de Android también fue informado en mayo de 2025, ya que las aplicaciones afectadas se distribuían a través de Google Play. Una versión parcheada del SDK — versión 5.2.1 — no estuvo disponible hasta el 3 de noviembre de 2025. La solución consistió en establecer el componente de actividad vulnerable como "no exportado", de modo que ya no pueda ser activado por aplicaciones externas.

30 Millones de Billeteras Cripto Expuestas por un Fallo de Android

Sin Ataques Conocidos — Pero el Riesgo Era Real

Es importante subrayar que, a fecha de 9 de abril de 2026, Microsoft no ha encontrado pruebas de que la vulnerabilidad haya sido explotada en la práctica. Esto atenúa un poco la alarma inmediata, pero no exime a la industria de aprender de este incidente.

Todas las billeteras cripto con versiones vulnerables de EngageSDK han sido eliminadas de Google Play. Google también ha implementado medidas de protección adicionales para los usuarios que previamente descargaron las aplicaciones afectadas.

Microsoft no nombró las billeteras específicas que fueron afectadas, pero insta a todos los desarrolladores que utilizan el SDK de EngageLab a actualizar a la versión 5.2.1 o superior de inmediato.

Incluso pequeños fallos en bibliotecas upstream pueden afectar a millones de dispositivos — el riesgo aumenta cuando las integraciones exponen componentes sin validación a través de los límites de las aplicaciones

Un Problema Estructural para Toda la Industria

El caso pone de manifiesto un riesgo conocido, pero a menudo subestimado, en el ecosistema móvil: la dependencia de bibliotecas de terceros. Los investigadores de Microsoft señalan que las aplicaciones de Android muy a menudo se construyen sobre bibliotecas externas, y que las integraciones inseguras pueden introducir vectores de ataque en aplicaciones que de otro modo estarían bien protegidas.

Para la industria cripto, las implicaciones son particularmente graves. Las billeteras manejan valores que son directamente accesibles para cualquiera que obtenga las claves privadas — sin posibilidad de reversión o cobertura de seguro en la mayoría de los casos.

Un fallo en una biblioteca de notificaciones push — y 30 millones de billeteras cripto estaban potencialmente abiertas

Consejos para Usuarios y Desarrolladores

Microsoft recomienda las siguientes medidas:

  • Usuarios: Mantengan todas las aplicaciones actualizadas y descarguen solo de fuentes oficiales y confiables como Google Play
  • Desarrolladores: Actualicen a EngageSDK versión 5.2.1 o superior de inmediato si la biblioteca está en uso
  • General: Realicen evaluaciones de seguridad periódicas de todas las bibliotecas de terceros en aplicaciones que manejen datos financieros sensibles

El caso ha sido cubierto por Bitcoinist con referencia a la divulgación de Microsoft.