Resumen ejecutivo (CEO)

Google publicó el Android Security Bulletin (01/03/2026) con correcciones para múltiples vulnerabilidades (patch levels 2026-03-01 y 2026-03-05) e indicó que CVE-2026-21385 (componente de Qualcomm) puede estar bajo explotación limitada y dirigida.
CISA lo incorporó al catálogo KEV con fecha límite de remediación 24/03/2026, señal de que hay evidencia de explotación activa.

Qué pasó (lo importante)

• CVE-2026-21385: vulnerabilidad de memory corruption asociada a chipsets Qualcomm, mencionada por Google como potencialmente explotada en ataques dirigidos.
• El bulletin de Android detalla patch levels y agrupa fixes por componentes (Framework/System/Kernel y vendor components).
• KEV: CISA exige aplicar mitigaciones/vendor instructions o discontinuar si no hay mitigación.

Acciones recomendadas (prioridad alta)

• Flota corporativa (MDM): forzar update a devices con patch level >= 2026-03-05 cuando esté disponible para el modelo/OEM.
• Usuarios: actualizar Android apenas el fabricante/liberador del firmware lo publique (en Android, “Google parchó” ≠ “tu equipo ya lo tiene”).
• Riesgo/contención: si tenés devices sin soporte o con updates atrasados, tratarlos como “alto riesgo”: segmentación (VPN/conditional access), restricción de apps, y rotación de credenciales donde aplique. (Esto se vuelve crítico cuando hay KEV).

Lo que NO sabemos (sin inventar)

• Google solo habla de explotación “limitada y dirigida”, sin detallar víctimas, cadena completa ni IoCs públicos en el bulletin.

Proyección

• Proyección: crecimiento de ataques focalizados a baseband/SoC y “vendor components” (difíciles de actualizar por fragmentación OEM).
• Probabilidad: alta.
• Base: mención de explotación dirigida + entrada a KEV con due date corto.

Hashtags:
#DrPlaga.sh #AndroidSecurity #Qualcomm #CVE #KEV #CISA #MobileSecurity #PatchManagement