Apple confirma ataques sofisticados contra iPhones y requiere actualización inmediata a iOS 26.2

Dos vulnerabilidades críticas han sido explotadas en ataques «extremadamente sofisticados» dirigidos a usuarios específicos de iPhone, según confirma la compañía de Cupertino

Apple acaba de confirmar oficialmente que dos vulnerabilidades de iPhone «pueden haber sido explotadas en un ataque extremadamente sofisticado contra individuos específicos objetivo». Esta alerta se suma a las advertencias de spyware emitidas este mes a usuarios de iPhone en todo el mundo.

Actualización crítica iOS 26.2 ya disponible

Ambas vulnerabilidades han sido corregidas en iOS 26.2, lanzado hoy. Sin embargo, mientras que el mensaje de actualización se aplica a usuarios que ya ejecutan iOS 26, existe una advertencia más seria para quienes aún no han actualizado. Estos ataques se dirigieron a individuos «en versiones de iOS anteriores a iOS 26». Aunque iOS 18 sigue recibiendo parches, no vale la pena el riesgo.

Apple quiere que actualices. Deberías hacerlo exactamente.

Vulnerabilidades vinculadas en WebKit

Apple ha revelado que las dos vulnerabilidades están conectadas: CVE-2025-14174 y CVE-2025-43529 fueron «emitidas en respuesta a este reporte». Una está atribuida al Threat Analysis Group de Google, la otra a los cazadores de amenazas de Google y Apple mismo.

Ambas afectan WebKit. Una, según Apple, presenta el riesgo de que un navegador «procesando contenido web maliciosamente diseñado pueda llevar a la ejecución arbitraria de código». Mientras que la otra «puede llevar a corrupción de memoria». Esto tiene las características de un ataque de spyware encadenado.

Expertos alertan sobre la gravedad del ataque

Según Ali Mousavifar de Menlo Security, «los dos exploits activos de WebKit en iOS 26.2 resaltan una tendencia clara: los motores de navegador son un objetivo principal para los atacantes. Deberíamos esperar que este tipo de ataques continúen ya que el navegador se convierte en el centro del trabajo moderno».

Mayuresh Dani de Qualys explica que «con toda probabilidad, estas vulnerabilidades han sido encadenadas para lograr la explotación». WebKit tiene una historia bien documentada como punto de entrada principal para campañas sofisticadas de spyware y vigilancia, incluyendo «los ahora infames spywares de monitoreo como Pegasus, que consistentemente han dependido de vulnerabilidades de WebKit como su vector de ataque principal».

Recomendaciones urgentes de seguridad

Los usuarios de iPhone deben seguir prácticas de seguridad operacional, que incluyen:

• Actualizar a iOS 26.2 inmediatamente
• Usar iCloud Private Relay para enmascarar su IP y cifrar consultas DNS
• Habilitar navegación privada y deshabilitar JavaScript temporalmente al interactuar con sitios no confiables

WebKit: un objetivo constante para el spyware

Las dos vulnerabilidades explotadas están entre ocho amenazas de WebKit parcheadas en esta versión. Otras son varios tipos de mal manejo de memoria, lo que abre la puerta a la desestabilización de una aplicación o el sistema operativo.

Hemos visto ataques zero-day de WebKit antes. Es un objetivo principal para desarrolladores de spyware que construyen y comercializan exploits. Estas últimas vulnerabilidades se pueden agregar a los «17 bugs zero-day en WebKit que los atacantes han explotado en el mundo real» desde 2023.

Riesgo de propagación más amplia

James Maude de BeyondTrust advierte: «Los usuarios deben actualizar urgentemente todos sus dispositivos Apple afectados. Aunque esto solo parece estar vinculado a un pequeño número de ataques dirigidos, rápidamente se convertirá en un exploit imprescindible para una gama de actores de amenaza».

Existe un riesgo adicional para los usuarios más allá de las dos vulnerabilidades explotadas, ahora que las correcciones de iOS 26 están en dominio público. Por ejemplo, «una aplicación puede ser capaz de acceder a datos sensibles del usuario» en Messages o «los campos de contraseña pueden revelarse involuntariamente al controlar remotamente un dispositivo a través de FaceTime».

Ataques simultáneos a Android e iPhone

A principios de diciembre, Google también advirtió que su sistema operativo estaba bajo ataque. Nuevamente fueron dos vulnerabilidades que estaban siendo explotadas en el mundo real para dirigirse a usuarios de Android. Google lanzó una actualización de emergencia en horas y los Pixels fueron parcheados en días.

Dani explica que «las dos vulnerabilidades críticas de WebKit son violaciones de seguridad de memoria que Apple confirma fueron weaponizadas en ataques del mundo real dirigidos contra individuos específicos en dispositivos pre-iOS 26. CVE-2025-43529 permite a los actores de amenaza una capacidad de ejecución directa de código, mientras que CVE-2025-14174 proporciona las muy necesarias capacidades de escape de sandbox y escalación de privilegios, lo que lo hace devastador».

Otras vulnerabilidades críticas corregidas

Más allá de WebKit, destaca un problema crítico del Kernel (CVE-2025-46285) en el que una aplicación maliciosa podría obtener privilegios de root debido a un bug de desbordamiento de enteros. También se corrigió una falla seria en la App Store (CVE-2025-46288) que podría haber permitido a las aplicaciones acceder a tokens de pago sensibles.

Sin alternativas: la actualización es la única defensa

Darren Guccione de Keeper Security es claro: «No hay solución alternativa o comportamiento del usuario que mitigue significativamente este riesgo. Instalar la actualización es la única defensa efectiva. Una vez que los parches son públicos, la ventana de exposición se amplía para cualquiera que retrase la actualización».

La agencia de ciberdefensa de Estados Unidos emitió su propia advertencia tras el lanzamiento para Android. Podemos esperar casi con certeza lo mismo para los usuarios de Apple al comienzo de la próxima semana.

La recomendación es clara: actualiza tu iPhone ahora mismo a iOS 26.2.