El lema de OnePlus, “Never Settle” (“Nunca te conformes”), suena vacío para muchos usuarios tras revelarse una grave vulnerabilidad en su sistema OxygenOS. La firma de ciberseguridad Rapid7 descubrió que las versiones 12, 14 y 15 del software permiten que aplicaciones maliciosas accedan a SMS y MMS sin permiso, sin interacción del usuario y sin que aparezca ninguna notificación. Modelos tan populares como el OnePlus 8T y el OnePlus 10 Pro 5G ya fueron confirmados como afectados, aunque no se descarta que otros equipos también lo estén.
La falla, catalogada como CVE-2025-10184, fue detectada en mayo de 2025. 
Rapid7 notificó de inmediato a OnePlus, pero durante meses la compañía no ofreció una respuesta concreta. Tras múltiples intentos, los investigadores hicieron pública la información en septiembre, lo que obligó a la marca a reaccionar. Curiosamente, las pruebas mostraron que OxygenOS 11 no presentaba el problema, lo que indica que el error fue introducido a partir de la versión 12.
El riesgo es crítico: los SMS suelen contener información sensible como códigos bancarios, enlaces de verificación y claves de acceso. Al no recibir alertas, el usuario no tiene forma de saber que sus mensajes fueron interceptados. En consecuencia, un atacante podría saltarse con facilidad la autenticación de dos factores (2FA) basada en SMS y tomar control de cuentas bancarias, redes sociales u otros servicios.
Las reacciones de la comunidad no se hicieron esperar. Algunos recordaron los ya famosos problemas de pantallas con “líneas verdes” que afectaron a modelos anteriores de OnePlus. Ahora, además de los fallos de hardware, se suma una brecha seria de software. Un comentario irónico resume la frustración: “¿Never settle? Más bien never secure”. Otros usuarios bromeaban diciendo que la demora en la corrección se debe a que OnePlus “no creía que la gente siguiera usando esos móviles”.
Rapid7 aclara que no se trata de un problema de hardware, sino de una falla en el núcleo del sistema Android modificado por OnePlus. Esto abrió la duda de si ColorOS, el sistema de Oppo – otra marca del mismo grupo BBK – podría tener la misma vulnerabilidad. La posibilidad de que se extienda a más fabricantes encendió aún más las alarmas.
OnePlus reaccionó oficialmente el 24 de septiembre, un día después de la publicación de Rapid7. En un comunicado a 9to5Google, la compañía aseguró que ya desarrolló un parche que se desplegará de forma global a partir de mediados de octubre. Hasta entonces, los usuarios seguirán expuestos. Aunque la empresa insiste en que la seguridad de los clientes es su prioridad, la lentitud en responder generó desconfianza incluso entre seguidores de la marca.
Mientras tanto, los expertos aconsejan precaución. Entre las medidas recomendadas: instalar solo apps de fuentes confiables y eliminar las innecesarias; reemplazar el 2FA vía SMS por apps autenticadoras como Google Authenticator o Authy; usar mensajeros cifrados de extremo a extremo como Signal o WhatsApp para conversaciones privadas; y, cuando sea posible, cambiar las notificaciones por SMS a notificaciones push dentro de las apps.
El caso evidencia un problema mayor: depender de SMS como factor de seguridad en 2025 ya es obsoleto. La industria avanza hacia alternativas más seguras, pero millones de usuarios aún dependen de este método. Hasta que la transición sea completa, brechas como la CVE-2025-10184 seguirán poniendo en riesgo a los consumidores. Los dueños de un OnePlus tendrán que esperar el parche en octubre… y quizá cuestionar si el lema “Never Settle” todavía tiene sentido.
2 comentarios
OnePlus decía never settle pero ahora es never secure 😂
Primero las pantallas con líneas verdes y ahora esto 😑