Apple ha lanzado actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero que los atacantes explotan activamente en ataques más dirigidos.
La empresa describió la actividad como un “ataque altamente sofisticado” dirigido a personas específicas. Si bien Apple no ha identificado ni a los atacantes ni a las víctimas, el alcance limitado sugiere claramente operaciones de tipo spyware en lugar de un cibercrimen generalizado.
Ambas fallas afectan a WebKit, el motor de navegador detrás de Safari, y a todos los navegadores de iOS. En consecuencia, el riesgo es significativo. En algunos casos, visitar una página web maliciosa es suficiente para desencadenar un ataque.
A continuación, desglosamos lo que significan estas vulnerabilidades y explicamos cómo puede protegerse mejor.
Lo que dice Apple sobre las vulnerabilidades de día cero
Las dos vulnerabilidades se rastrean como CVE-2025-43529 y CVE-2025-14174, y Apple confirmó que ambas fueron explotadas en el mismo ataque del mundo real.
Según el boletín de seguridad de Apple, las vulnerabilidades fueron explotadas en versiones de iOS lanzadas antes de iOS 26 y los ataques se limitaron a “individuos específicamente dirigidos”.
CVE-2025-43529 es una vulnerabilidad de uso después de la liberación de WebKit que podría provocar la ejecución de código arbitrario cuando un dispositivo procesa contenido web creado con fines malintencionados. En pocas palabras, permite a los atacantes ejecutar su propio código en el dispositivo engañando al navegador para que administre mal la memoria.
Apple le dio crédito al Grupo de Análisis de Amenazas de Google por haber descubierto la falla, que a menudo es un fuerte indicador de actividad de software espía comercial o de estado-nación.
La segunda falla, CVE-2025-14174, también es un problema de WebKit, esta vez relacionado con corrupción de memoria.
Apple describe el efecto de la corrupción de la memoria en lugar de la ejecución directa de código, ya que este tipo de errores a menudo se combinan con otras vulnerabilidades para comprometer completamente un dispositivo.
Apple dice que el problema fue descubierto conjuntamente por Apple y el Grupo de Análisis de Amenazas de Google.
En ambos casos, Apple admitió que estaba al tanto de informes que confirmaban una explotación activa en la naturaleza.
Ese lenguaje es importante porque Apple generalmente lo reserva para situaciones en las que ya se han producido ataques, no sólo para riesgos teóricos.
La compañía dice que los errores se solucionaron mediante una mejor gestión de la memoria y mejores comprobaciones de validación, sin compartir detalles técnicos profundos que podrían ayudar a los atacantes a replicar los exploits.
Símbolos de impacto de los instrumentos y divulgación coordinada.
Apple ha lanzado parches en todos sus sistemas operativos compatibles, incluidas las últimas versiones de iOS, iPadOS, macOS, Safari, watchOS, tvOS y visionOS.
Según el aviso de Apple, los dispositivos afectados incluyen el iPhone 11 y modelos más nuevos, varias generaciones del iPad Pro, el iPad Air de tercera generación, el iPad de octava generación y más nuevos, y el iPad mini de quinta generación.
Esto cubre la mayoría de los iPhone y iPad que todavía se utilizan activamente en la actualidad.
Apple ha solucionado los fallos de todo su ecosistema. Las correcciones están disponibles en iOS 26.2 y iPadOS 26.2, iOS 18.7.3 y iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 y Safari 26.2. Debido a que Apple requiere que todos los navegadores iOS utilicen WebKit internamente, el mismo problema subyacente también afecta a Chrome en iOS.
Aquí hay 6 pasos que puede seguir para protegerse de este tipo de vulnerabilidades
A continuación se presentan seis pasos prácticos que puede seguir para mantenerse a salvo, especialmente a la luz de este tipo de ataques de día cero altamente dirigidos.
1) Instale las actualizaciones tan pronto como estén disponibles
Parece obvio, pero es más importante que cualquier otra cosa. Los ataques de día cero dependen de personas que ejecutan software obsoleto.
Si Apple envía una actualización de emergencia, instálela el mismo día si puede. Por lo general, solo los atacantes de ventanas necesitan retrasar las actualizaciones. Si tiendes a olvidarte de las actualizaciones, deja que tus dispositivos las manejen por ti. Habilite las actualizaciones automáticas para iOS, iPadOS, macOS y Safari. De esa manera, estarás protegido incluso si te pierdes las noticias o estás de viaje.
2) Ten cuidado con los enlaces incluso de personas que conoces
La mayoría de los exploits de WebKit comienzan con contenido web malicioso. Evite tocar enlaces aleatorios enviados por SMS, WhatsApp, Telegram o correo electrónico a menos que los espere. Si hay algún problema, abra el sitio más tarde escribiendo la dirección.
La mejor manera de protegerse de enlaces maliciosos que instalan malware y potencialmente acceden a su información privada es instalar software antivirus en todos sus dispositivos.
Esta protección puede alertarle sobre correos electrónicos de phishing y estafas de ransomware, manteniendo seguros su información personal y sus activos digitales.
3) Utilice una configuración de navegación de estilo bloqueado
Si es periodista, activista o alguien que maneja información confidencial, considere reducir su superficie de ataque.
Utilice sólo Safari, evite extensiones innecesarias del navegador y limite la frecuencia con la que abre enlaces en aplicaciones de mensajería.
4) Activa el modo de bloqueo si estás en peligro
El modo de bloqueo de Apple está diseñado específicamente para ataques dirigidos. Bloquea determinadas tecnologías web, bloquea la mayoría de los archivos adjuntos de mensajes y limita los vectores de ataque utilizados habitualmente por el software espía. No es para todos, pero existe en estos casos.
5) Minimizar sus datos personales divulgados
Los ataques dirigidos suelen comenzar con la elaboración de perfiles. Cuantos más datos personales sobre usted floten en línea, más fácil será identificarlo como objetivo. Eliminar datos de los sitios de los corredores y reforzar la configuración de privacidad de las redes sociales puede reducir su visibilidad.
Aunque ningún servicio puede garantizar la eliminación completa de sus datos de Internet, un servicio de eliminación de datos es una muy buena opción. No son baratos y tu privacidad tampoco.
Estos servicios hacen todo el trabajo por usted al monitorear activamente y eliminar sistemáticamente su información personal de cientos de sitios web. Me da tranquilidad y ha demostrado ser la forma más eficaz de eliminar sus datos personales de Internet.
Al limitar la información disponible, se reduce el riesgo de que los estafadores crucen los datos de las filtraciones con información que puedan encontrar en la web oscura, lo que les dificulta atacarlo.
6) Preste atención al comportamiento inusual del dispositivo
Fallos inesperados, sobrecalentamiento, descarga repentina de la batería o Safari apagándose por sí solo Señales de advertencia. Esto no significa automáticamente que su dispositivo esté comprometido. Sin embargo, si algo siempre parece mal, el mejor curso de acción es actualizar y restablecer el dispositivo inmediatamente.
La conclusión clave de Kurt
Apple no compartió detalles sobre quién fue el objetivo o cómo se realizaron los ataques. Sin embargo, este patrón encaja estrechamente con campañas anteriores de software espía que se centraron en periodistas, activistas, figuras políticas y otras personas de interés para los operadores de vigilancia.
Con estos parches, Apple ha solucionado siete vulnerabilidades de día cero que eran explotables en la naturaleza sólo en 2025.
Esto incluye fallas reveladas a principios de este año y una solución respaldada en septiembre para dispositivos más antiguos.
