¿Se puede desafiar la seguridad de Android usando SOLO un teléfono móvil?
La respuesta es sí.
Y esta es mi historia.
Soy Manuel García Peña (Lostmon), investigador independiente de seguridad y presidente de BojosXtu, una asociación de apoyo y empoderamiento en salud mental.
Durante los últimos cuatro años he perseguido un mismo patrón dentro de Android. Lo que comenzó como una intuición técnica terminó convirtiéndose en una investigación donde documento 31 vectores de ataque relacionados con un mismo fenómeno al que he llamado Structured Text Amplification (STA), un patrón que implica componentes críticos de Android como libminikin, SystemUI, el pipeline de renderizado de texto y distintos mecanismos internos de procesamiento y restauración del estado del sistema.
📅 La investigación completa verá la luz el próximo 30 de julio.
Pero lo más importante no es el hallazgo técnico.
Lo importante es cómo llegué hasta él.
🧒 Antes del diagnóstico: perseguir bugs era mi forma de entender el mundo
Mucho antes de recibir un diagnóstico de salud mental, ya era el típico chaval que desmontaba todo para descubrir cómo funcionaba.
Mientras otros jugaban, yo abría aplicaciones, observaba comportamientos extraños y me hacía siempre la misma pregunta:
"¿Y si esto se puede romper?"
No sabía lo que era un Bug Bounty. No sabía lo que era AOSP. Ni siquiera imaginaba que algún día investigaría vulnerabilidades.
Simplemente tenía una curiosidad casi obsesiva por comprender cómo funcionaban los sistemas.
Con los años empecé a encontrar fallos reales, a reportarlos y a aprender de forma completamente autodidacta.
🖤 El momento en que tuve que dejarlo
Después llegó el diagnóstico.
Y con él, una realidad que me costó mucho aceptar.
Ya no podía pasar horas delante de un ordenador como antes.
Mi mente empezó a jugarme malas pasadas.
Cuanto más tiempo permanecía frente a una pantalla grande, más me absorbía el mundo que había dentro de ella. Perdía la noción del tiempo, perdía el entorno y, a veces, sentía que me perdía yo mismo entre miles de líneas de código.
Tuve que dejar de investigar durante una temporada.
Y fue durísimo.
Porque no estaba perdiendo simplemente un hobby.
Sentía que estaba perdiendo una parte de mí.
Pensé que todo había terminado.
📱 Mi laboratorio: un Xiaomi Redmi 14 5G
Pero la curiosidad seguía ahí.
Y encontré otra forma de volver.
Gran parte de esta investigación se ha realizado desde un Xiaomi Redmi 14 5G.
Desde el sofá.
En mis días buenos.
Cuando la cabeza me dejaba concentrarme un rato.
Sin un laboratorio.
Sin una estación de trabajo.
Sin varios monitores.
Solo una pantalla pequeña, AOSP abierto en el navegador y miles de líneas de código leídas función a función, siguiendo llamadas entre clases para intentar comprender cómo pensaba Android.
Durante cuatro años fui reconstruyendo ese enorme puzle.
Había días en los que solo podía revisar unas pocas funciones.
Otros encontraba una pista y pasaba horas siguiendo llamadas entre TextView, StaticLayout, LineBreaker, libminikin, SystemUI y muchos otros componentes del framework.
Así comenzó la persecución de un patrón que aparecía una y otra vez.
🔍 Cuatro años persiguiendo el mismo fantasma
La primera vez que observé un comportamiento extraño fue hace años, en Android 9.
Lo reproduje.
Tomé notas.
Y seguí investigando.
Con el tiempo aparecieron nuevos síntomas:
- • bloqueos en navegadores;
- • ANRs provocados por determinadas estructuras de texto;
- • problemas durante la impresión;
- • corrupción de estado en aplicaciones;
- • crash loops persistentes de SystemUI;
- • comportamientos aparentemente distintos que, una y otra vez, me llevaban al mismo lugar.
La mayoría habría pensado que eran errores independientes.
Yo no conseguía quitarme de la cabeza la sensación de que todos compartían un mismo origen.
Cada vez que encontraba un síntoma nuevo volvía al mismo sitio del código.
Fue entonces cuando empecé a sospechar que no estaba persiguiendo treinta y un errores distintos.
Estaba persiguiendo un único patrón que se manifestaba de formas diferentes.
🧠 La neurodivergencia también puede aportar otra forma de mirar
Durante mucho tiempo pensé que mi diagnóstico era un obstáculo para investigar.
Hoy lo veo de otra manera.
Con el tiempo comprendí que mi forma de procesar la información también tenía fortalezas: una enorme capacidad para detectar patrones, mantener el foco durante semanas sobre un mismo problema y conectar detalles que parecían no tener relación.
No romantizo la salud mental.
Hay días malos.
Hay agotamiento.
Hay frustración.
Hay momentos en los que la cabeza simplemente no coopera.
Pero también he aprendido que cada persona observa el mundo de una manera distinta.
Y, a veces, esa mirada diferente permite encontrar conexiones que habían pasado desapercibidas.
🤝 La comunidad hizo posible continuar
Yo solo no habría podido validar todo esto.
Compañeros y amigos me prestaron dispositivos para reproducir los distintos vectores en fabricantes y versiones diferentes de Android.
Gracias a ellos pude comprobar comportamientos en Xiaomi, Samsung, OPPO, OnePlus y otros terminales.
La investigación independiente también se construye así.
Con personas que comparten tiempo, hardware y confianza sin esperar nada a cambio.
💰 Y un día llegaron dos mensajes que jamás olvidaré
En medio de todo este proceso llegaron dos validaciones que nunca habría imaginado cuando empecé leyendo AOSP desde la pantalla de un teléfono móvil.
Google confirmó una vulnerabilidad relacionada con Binder y me concedió una recompensa a través de su programa de vulnerabilidades.
Y hace apenas unas horas Xiaomi confirmó otra vulnerabilidad y me concedió una recompensa mediante HackerOne.
No es una cuestión de dinero.
Lo verdaderamente importante fue leer una frase muy sencilla:
"This vulnerability is confirmed."
Después de tantos años investigando en silencio, esa frase significó mucho más que una recompensa económica.
Fue la confirmación de que todo aquel esfuerzo, todas aquellas horas leyendo código y persiguiendo un patrón que casi nadie veía, estaban dando fruto.
🚀 La investigación continúa
El próximo 30 de julio publicaré el whitepaper completo con la metodología, el marco teórico de Structured Text Amplification (STA), los 31 vectores documentados y todas las evidencias recogidas durante estos años.
No sé cuál será su impacto.
No sé cuántas personas lo leerán.
Pero sí sé una cosa.
La curiosidad no depende del hardware.
No depende de tener el mejor laboratorio.
Ni de disponer de cuatro monitores.
Depende de seguir haciéndote preguntas.
Depende de no dejar de preguntarte:
"¿Y si nadie ha mirado aquí?"
Porque, al final, investigar nunca ha consistido en tener el mejor equipo.
Ha consistido en no perder nunca la capacidad de hacerse preguntas.
Y después de todo este tiempo sigo creyendo exactamente lo mismo que cuando era un chaval persiguiendo bugs sin saber siquiera cómo se llamaban.
"La curiosidad es lo que hace mover la mente." 🛡️
La investigación continúa.
Y yo también.
lostmon.blogspot.com · lostmon@gmail.com
