El Dilema de la Confianza: Análisis del Software Preinstalado y las Vulnerabilidades de Fábrica en el Ecosistema Samsung

En la industria de la telefonía móvil, la integridad del dispositivo se basa en una cadena de confianza que comienza en la fábrica. Sin embargo, investigaciones recientes han puesto bajo la lupa al gigante surcoreano Samsung, no solo por fallos de seguridad accidentales, sino por la inclusión de componentes de software preinstalados que caminan por la delgada línea entre la monetización agresiva y la vigilancia técnica. Este fenómeno, que afecta desde modelos económicos hasta dispositivos insignia, plantea preguntas críticas sobre la soberanía digital del usuario y la transparencia de los fabricantes.

La controversia AppCloud: ¿Publicidad o Vigilancia?

El centro del debate actual es un servicio del sistema identificado como AppCloud (paquete com.aura.oobe.samsung.gl o com.ironsource.appcloud.oobe). Este software, integrado profundamente en el firmware de las series Galaxy A, M y F, ha sido calificado por organizaciones de derechos digitales como SMEX como un “bloatware invasivo”.

Técnicamente, AppCloud no es una aplicación convencional; opera con privilegios de sistema, lo que le permite descargar archivos sin notificar al usuario, acceder a la red de forma total y recolectar telemetría sensible que incluye direcciones IP y, potencialmente, datos biométricos. Lo más preocupante para los expertos es su persistencia: el software es virtualmente imposible de eliminar mediante métodos estándar y tiende a reactivarse tras las actualizaciones del sistema. Esta aplicación es fruto de una asociación con ironSource (ahora propiedad de Unity), una empresa con un historial cuestionado por prácticas de privacidad, lo que ha generado tensiones geopolíticas en regiones como Medio Oriente debido a sus orígenes israelíes.

LANDFALL: El espionaje de “Cero Clics”

Más allá de las decisiones comerciales de preinstalación, Samsung ha enfrentado vulnerabilidades críticas en sus librerías de fábrica que han sido explotadas por spyware de grado comercial. El caso más emblemático es el de LANDFALL, un sofisticado malware descubierto por la unidad Unit 42 de Palo Alto Networks.

LANDFALL utilizó una vulnerabilidad de “escritura fuera de límites” identificada como CVE-2025-21042 en la librería libimagecodec.quram.so, un componente encargado de procesar imágenes DNG preinstalado en todos los dispositivos Galaxy. Lo que hace a LANDFALL particularmente peligroso es su vector de ataque de “cero clics”: el dispositivo podía verse comprometido simplemente al recibir una imagen malformada a través de aplicaciones como WhatsApp, sin que el usuario tuviera que abrir el archivo. Una vez dentro, el spyware funcionaba como un centro de vigilancia total, con capacidad para grabar audio, rastrear la ubicación GPS en tiempo real y exfiltrar mensajes, fotos y registros de llamadas.

Fallos en One UI: La persistencia de datos sensibles

La interfaz propia de Samsung, One UI, también ha mostrado debilidades en la gestión de la privacidad cotidiana. En abril de 2025, se reveló que la función del portapapeles (clipboard) de One UI almacenaba todos los elementos copiados —incluyendo contraseñas y datos bancarios— en texto plano y sin expiración automática.

A diferencia del Android estándar (AOSP), que limpia el portapapeles después de una hora, el sistema de Samsung mantenía esta información de forma indefinida, dejándola vulnerable a troyanos de robo de información (infostealers) o a cualquier persona con acceso físico al terminal. Esta vulnerabilidad persistía incluso si el usuario optaba por teclados de terceros como Gboard, ya que la integración a nivel de sistema de Samsung puenteaba las protecciones externas.

Respuesta Regulatoria y Medidas de Mitigación

Ante la acumulación de reportes, organismos como la Comisión de Comunicaciones de Corea (KCC) han iniciado investigaciones sobre aplicaciones preinstaladas como “Studio”, sospechosa de violar las leyes de telecomunicaciones al restringir la libertad de eliminación de los usuarios. Asimismo, agencias de seguridad como CISA en Estados Unidos han ordenado el parcheo urgente de las vulnerabilidades explotadas por LANDFALL tras incluirlas en su catálogo de vulnerabilidades explotadas conocidas (KEV).

Para los usuarios preocupados por su seguridad, las recomendaciones técnicas son claras:

  1. Actualización Inmediata: Instalar los parches de seguridad (SMR) de Samsung de forma prioritaria, especialmente aquellos lanzados a partir de abril de 2025.
  2. Activación de Auto Blocker: Utilizar las funciones de seguridad nativas de Samsung que limitan la instalación de apps de fuentes no autorizadas y protegen contra exploits basados en imágenes.
  3. Gestión de Permisos: Revisar y revocar permisos innecesarios de aplicaciones del sistema y evitar el uso del portapapeles para datos altamente sensibles.

En conclusión, aunque Samsung mantiene una arquitectura de seguridad robusta a nivel de hardware con Knox, la presencia de componentes como AppCloud y la explotación de librerías nativas demuestran que el software que viene “de fábrica” requiere un escrutinio constante. La seguridad móvil en 2026 ya no se trata solo de lo que el usuario instala, sino de gestionar activamente lo que el fabricante decidió instalar por él.