Unity Technologies ha lanzado un parche para corregir una vulnerabilidad de seguridad que podría haber permitido la ejecución de código malicioso en juegos de Android creados con su plataforma, robando potencialmentedentcomo frases de semillas de billeteras criptográficas.
En su aviso , Unity declaró que el error representaba un riesgo de alta gravedad; sin embargo, no hay evidencia de explotación ni impacto en los usuarios. Fue identificado por primera vez dent 4 de junio por el investigador de ciberseguridad RyotaK de GMO Flatt Security Inc. y clasificado como CWE-426: Ruta de búsqueda no confiable.
Unity Technologies, un proveedor de herramientas de desarrollo 3D en tiempo real, impulsa más del 70% de los 1.000 juegos móviles más importantes del mundo.
Un error de Unity afectó a las versiones del editor y expuso las aplicaciones a la carga de archivos
Según la divulgación , la vulnerabilidad afectó a varias plataformas, como Android, Windows, macOS y Linux. El 2 de octubre se lanzó una versión parcheada de Unity Runtime, y se insta a los desarrolladores a actualizar su software para evitar el riesgo de vulnerabilidades .
La vulnerabilidad, con una puntuación CVSS de 8,4, también fue mencionada por RyotaK. Indica que las aplicaciones maliciosas instaladas en los dispositivos podrían secuestrar los permisos otorgados a las aplicaciones desarrolladas por Unity, lo que permite a los atacantes ejecutar código arbitrario de forma remota.
El director de la comunidad, Larry “Major Nelson” Hryb, publicó un aviso de seguridad diciendo que las aplicaciones que usaban versiones afectadas de Unity Editor eran vulnerables a ataques de carga de archivos e inclusión de archivos locales.
Los atacantes podrían explotar esta falla para obtener acceso con privilegios a la aplicación vulnerable. Los sistemas Windows corrían el doble de riesgo si existía un controlador URI personalizado registrado, que los atacantes podrían usar para activar la carga remota de bibliotecas.
El entorno de ejecución de Unity vulnerable, presente en compilaciones anteriores al 2 de octubre, permitía la inyección de argumentos, lo que podía provocar la carga de código desde ubicaciones no deseadas. De ser comprometido, un atacante podría ejecutar comandos arbitrarios o extraer informacióndentde un dispositivo afectado.
El parche está activo, los proyectos comienzan a reconstruirse
Unity confirmó a finales de la semana pasada que los parches ya están disponibles para todos los desarrolladores y les recomendó que reconstruyan sus proyectos con una versión parcheada del Editor de Unity. La empresa también recomendó aplicar el Parchador de Aplicaciones de Unity a las compilaciones existentes de Android, Windows o macOS, y posteriormente realizar pruebas y reimplementaciones.
¡Hola, desarrolladores de XR! Quizás hayan visto una notificación de Unity esta mañana.
Una vulnerabilidad en Unity (desde la versión 2017.1 en adelante) permite la carga insegura de archivos o la inclusión de archivos locales que pueden llevar a la ejecución de código o la divulgación de datos en aplicaciones compiladas.
Para remediarlo, debes… pic.twitter.com/h2PhFCQeX6
— Robi ᯅ (@xrdevrob) 3 de octubre de 2025
En el comunicado oficial, Unity reiteró que no se encontró evidencia de explotación activa y que ningún cliente se vio afectado. La compañía añadió que se comunicaron medidas de mitigación inmediatas a los desarrolladores para evitar futuras exposiciones.
En Android, el problema podría provocar la ejecución de código o la elevación de privilegios, mientras que en Windows, Linux (de escritorio e integrado) y macOS, la falla podría haber generado riesgos de privilegios. El aviso de Unity indicó que los juegos de consola no se vieron afectados, aunque las aplicaciones móviles y de escritorio desarrolladas en versiones vulnerables de Unity sí lo estuvieron.
El viernes pasado, Microsoft también emitió una alerta de seguridad relacionada que confirmaba que los equipos de desarrollo de juegos para Windows estaban revisando y actualizando los títulos potencialmente afectados. Windows Defender se ha actualizado para detectar y bloquear cualquier vulnerabilidad de seguridad conocida relacionada con esta vulnerabilidad.
Hackers usan juegos para robar datos privados
La industria de los videojuegos en general se ha enfrentado a amenazas de software malicioso, desarrollado por hackers que han camuflado juegos, incluso contenido descargable, como legítimo. Los hackers ocultan malware en juegos populares, demos o mods distribuidos a través de canales no oficiales.
Los jugadores podrían, sin saberlo, ayudar a los hackers al descargar versiones pirata de títulos como Grand Theft Auto V, God of War o Mortal Kombat 1, que contienen malware oculto, como Crackonosh. Una vez instalado, el virus informático aprovecha de forma encubierta los recursos del ordenador del usuario para minar criptomonedas como Monero (XMR) de forma silenciosa.
Algunos actores maliciosos inyectan código dañino mediante actualizaciones posteriores al lanzamiento o redirigen a los usuarios a sitios externos que alojan archivos infectados. Tras engañar a los jugadores para que descarguen el juego, roban datos personales, credenciales de juego dent de criptomonedas .
En su declaración, Hryb instó a desarrolladores y usuarios a actualizar constantemente sus sistemas operativos, habilitar las actualizacionesmatic y utilizar un software antivirus fiable. También afirmó que la seguridad es una "responsabilidad compartida" en los videojuegos, ya que millones de usuarios interactúan a diario con aplicaciones basadas en Unity.
