¿Tienes un teléfono OnePlus? Se ha detectado una grave vulnerabilidad que afecta a modelos desde 2020
Te pueden vaciar la cuenta bancaria
Los móviles de OnePlus vuelven a estar en el centro de la polémica, y no precisamente por una nueva función. Sino por una peligrosa vulnerabilidad en su sistema operativo que lleva sin solucionarse desde 2020. Y lo peor, cibercriminales te pueden vaciar la cuenta bancaria de forma más sencilla.
Ha sido la firma de ciberseguridad Rapid7 la que ha desvelado esta vulnerabilidad crítica en OxygenOS que expone los mensajes SMS y MMS de los usuarios a cualquier aplicación instalada en el dispositivo, sin necesidad de permisos, interacción o consentimiento.
El problema, identificado como CVE-2025-10184, afecta a la mayoría de los terminales de la marca lanzados desde 2020 y todavía no ha sido solucionado.
Cómo funciona este fallo de OxygenOS que afecta a los OnePlus
El fallo de seguridad se encuentra en el servicio de telefonía modificado por OnePlus dentro de Android. Dicho de forma sencilla: por un cambio en cómo OxygenOS gestiona el acceso a los mensajes de texto, cualquier aplicación podría leer y extraer SMS sin que el usuario lo sepa ni haya otorgado permisos.
Un problema muy grave, más si tenemos en cuenta que se sata por completo la seguridad de los sistemas de verificación en dos pasos basados en SMS, al permitir que un atacante pueda robar los códigos de acceso que llegan al móvil.
Rapid7 ha comprobado la vulnerabilidad en terminales como el OnePlus 8T y el OnePlus 10 Pro 5G, ejecutando OxygenOS 12, 14 y 15. Sin embargo, advierten que no se trata de un fallo de hardware aislado, sino de un componente central del sistema operativo, por lo que es altamente probable que otros modelos recientes también estén afectados.
Curiosamente, las versiones antiguas de OxygenOS 11 (basadas en Android 11) parecen ser las únicas a salvo.
OnePlus ignoró a Rapid7 cuando les informó del fallo
Tras todo tipo de intentos fallidos de contacto con OnePlus, y viendo que, pese al peligro de la vulnerabilidad, el fabricante ignoraba su aviso, Rapid7 hizo pública la vulnerabilidad el 23 de septiembre de 2025. Solo entonces, OnePlus reconoció el fallo y emitió un comunicado:
“Hemos implementado una solución que se desplegará a nivel global a partir de mediados de octubre mediante una actualización de software. OnePlus sigue comprometido con la protección de los datos de los clientes y continuará priorizando las mejoras de seguridad”.
Hasta que llegue ese parche, todos los móviles con OxygenOS 12 en adelante seguirán en riesgo. Aunque el problema es grave, hay medidas que puedes aplicar para reducir tu exposición al riesgo hasta que la actualización llegue.
Y pasa por instalar solo aplicaciones de confianza y eliminar las que no uses. Así limitas la posibilidad de que alguna aproveche el fallo. Y, sobre todo, cambia el sistema de verificación en dos pasos: si usas SMS para la autenticación, utiliza un autenticador de códigos (como Google Authenticator, Auth y otros) para evitar un problema mayor.
