Apple виправляє вразливості, які вразливі для кожного користувача, і атакують уразливі дії WebKit

Головна » Python » Apple виправляє вразливості, які вразливі для кожного користувача, і атакують уразливі дії WebKit

Apple опублікувала серію actualizaciones de seguridad de emergencia para bloquear dos vulnerabilidades de día cero que ya estaban siendo usadas en ataques reales contra un número muy reducido de personas. Aunque la compañía no ha revelado quién está detrás de la campaña ni a quién iba dirigida, el tipo de ataque encaja más con operaciones de software espía altamente dirigido que con delincuencia informática masiva.

Las dos fallas se encuentran en WebKit, двигун навігації que impulsa Safari y, debido a las restrictiones de iOS, también funciona como base para cualquier tro navegador en iPhone y iPad. En escenarios concretos, basta con visitar un sitio web especialmente manipulado para que el dispositivo procese contenido malicioso y se dispare la cadena de explotación, sin que la víctima tenga que hacer nada más.

Este nuevo incidente se suma a otros problemas de seguridad que han ido marcando el año, y refuerza la idea de que los ataques dirigidos mediante vulnerabilidades de día cero se han convertido en una herramienta habitual tanto para actores estatales como para proveedores comerciales de spyware. Para la mayoría de usuarios, el riesgo inmediato puede parecer bajo, pero el nivel de sofisticación ilustra cómo puede evolucionar el panorama de amenazas.

Antes de entrar en los detalles técnicos y las заходи щодо пом'якшення, conviene entender qué ha dicho Apple sobre estos errores, por qué son tan delicados y qué dispositivos seven potencialmente afectados, incluso si no se consideran objetivos «de alto perfil».

Qué ha reconocido Apple sobre estas dos vulnerabilidades de día cero

Las vulnerabilidades están catalogadadas como CVE-2025-43529 y CVE-2025-14174, y Apple ha confirmado que ambas se explotaron dentro del mismo escenario de ataque en el mundo real. El uso de dos fallas encadenadas es típico de campañas avanzadas, donde los atacantes combinan errores para escalar privilegios y consolidar el control sobre el dispositivo comprometido.

Según la documentación de seguridad de la compañía, las explotaciones se dirigieron contra versiones de iOS попередні версії iOS 26, y la actividad se limitó a «individuos specíficamente seleccionados». Este lenguaje no se usa para cualquier problema: normalmente apunta a operaciones cuidadosamente diseñadas, dirigidas a un conjunto muy restringido de objetivos con un valor de inteligencia elevado.

CVE-2025-43529 описує як один vulnerabilidad de “use-after-free” en WebKit. En la practica, esto significa que, manipulando cierto contenido web, un atacante puede forzar al navegador a reutilizar memoria que ya no debería estar en uso. Esa confusión sobre qué hay realmente almacenado en esa zona de memoria abre la puerta a ejecutar código arbitrario en el dispositivo, todo ello escondido detrás de una página web aparentemente legítima.

Apple ha acreditado el hallazgo de esta falla al Група аналізу загроз Google, el equipo de Google, especializado en rastrear grupos de amenazas sofisticadas, incluidos proveedores comerciales de spyware y actores vinculados a estados. Históricamente, cuando este equipo está implicado en el descubrimiento, suele tratarse de campañas con objetivos como periodistas, defensores de derechos humanos o figuras políticas.

Друга вразливість, CVE-2025-14174, también se ubica en WebKit y se classifica como un problema de corrupción de memoria. Aunque en la documentación Apple habla de «memory corruption» y no siempre lo etiqueta directamente como ejecución de código, este tipo de errores se puede combinar con otros para alcanzar un compromiso total del dispositivo, desde la lectura de datos confidenciales hasta la installón silenciosa de шпигунське програмне забезпечення.

En este caso, la empresa señala que el bug fue descubierto de forma conjunta por Apple y el propio Група аналізу загроз Google. Esa colaboración refuerza la impresión de que la actividad se investigó a partir de ataques ya en curso, y no de una simple revisión interna de código.

En ambas vulnerabilidades, Apple indica expresamente que estaba al tanto de explotación activa «в дикій природі». Esta formulación no se utiliza para vulnerabilidades teóricas o meramente potencijales, sino cuando ya se han observado abusos claros de los fallos frente a víctimas reales.

La solución técnica, según Apple, ha consistido principalmente en un refuerzo de la gestión de memoria y controles de validación dentro de WebKit. No obstante, la compañía evita entrar en demasiados detalles técnicos; ofrecer información demasiado precisa podría facilitar que otros actores zlociosos reprodujeran el exploit o desarrollaran variantes.

Alcance de la exposición y dispositivos afectados

Apple ha liberado parches para la práctica totalidad de sus sistemas operativos en soporte activo, включаючи останні версії iOS, iPadOS, macOS, Safari, watchOS, tvOS і visionOS. El objetivo es asegurarse de que tanto los equipos de escritorio como los dispositivos móviles y los wearables queden protegidos frente al mismo problema subyacente en WebKit.

De acuerdo con el aviso de seguridad, están en el punto de mira una amplia gama de dispositivos: desde el iPhone 11 та новіших версій, pasando por varias generaciones de iPad Pro, iPad Air a partir de la tercera generación, iPad de octava generación y versiones recientes de iPad mini a partir de la quinta generación. En otras palabras, cubre la enorme mayoría de teléfonos y tabletas Apple que siguen utilizándose de forma habitual.

Las correcciones se han incorporado a un abanico de versiones specíficas: iOS 26.2 і iPadOS 26.2 para quienes ya están en la rama más reciente, pero también iOS 18.7.3 і iPadOS 18.7.3 para dispositivos que permanecen en generaciones anteriores aún soportadas. En equipos de escritorio, el parche llega como parte de macOS Тахо 26.2, mientras que en el ecosistema de entretenimiento y wearables se despliega como tvOS 26.2, watchOS 26.2 y visionOS 26.2, además de una actualización de Safari a la versión 26.2.

Un punto que a menudo pasa desapercibido es que, en iOS y iPadOS, всі навігатори дебен використовують WebKit internamente, incluso si por fuera sellaman Chrome, Firefox і Opera. Esto implica que el fallo no se limita a Safari, sino que cualquier navegador basado en iOS comparte la misma superficie de ataque en lo que respecta al motor de renderizado.

En el contexto más amplio de 2025, con estas correcciones Apple ha parcheado ya siete vulnerabilidades de día cero que han sido explotadas de forma confirmada durante el año. Entre ellas se encuentran errores revelados anteriormente y una actualización lanzada en septiembre para equipos más antiguos, lo que da una idea del volumen de recursos que los atacantes están invirtiendo en este tipo de exploits.

Cómo reducir el riesgo frente a ataques dirigidos mediante zero-days

Aunque la campaña descrita apunta sobre todo a víctimas muy concretas, las mismas debilidades técnicas afectan a cualquiera que no haya actualizado todavía. Hay una serie de практичні заходи que pueden marcar una diferencia real en la probabilidad de verse afectado por este tipo de ataques, incluso si no se está en el radar de un actor de alto nivel.

1) Instalar las actualizaciones tan pronto como aparezcan

Puede sonar repetitivo, pero en el mundo de los нульові дні no hay consejo más efectivo que mantener el software al día. Este tipo de operación depende, en gran medida, de personas que siguen usando versiones antiguas y no han aplicado los parches críticos.

Cuando Apple lanza una actualización de seguridad urgente, es recomendable instalarla коли є в наявності. En muchas campañas, los atacantes se centralan precisamente en la ventana de tiempo entre la publicación del parche y su adopción masiva, explotando a quienes retrasan la instalación por comodidad o por simple olvido.

Para quienes no quieren estar pendientes de cada aviso, dejar que el sistema gestione las actualizaciones de forma automatica es una alternativa sensata. Активувати лас автоматичні оновлення en iOS, iPadOS, macOS y Safari зменшують drásticamente el margen de exposición, incluso si el usuario no llega a leer sobre la vulnerabilidad en las noticias o está de viaje cuando se libera el parche.

2) Desconfiar de enlaces inesperados, incluso de contactos conocidos

La mayoría de ataques contra WebKit se apoyan en contenido web especialmente preparado. En bastantes casos, el primer paso de la cadena de ataque es un enlace enviado por SMS, correo electronico o aplicaciones de mensajería, diseñado para que la víctima haga clic sin pensar demasiado.

Conviene ser especialmente cauteloso con enlaces que llegan de forma inesperada, aunque parezcan proceder de alguien conocido. Si algo genera dudas, una opción más prudente es escribir manualmente la dirección en el navegador o buscar el sitio por nombre, en lugar de pulsar directamente sobre la URL que ha llegado en el mensaje.

Como capa adicional, tener instalado un антивірусне програмне забезпечення безпеки en los distintos dispositivos puede ayudar a bloquear páginas zlociosas, alertar sobre intentos de phishing y reducir el riesgo de que un clic casual termine instalando malware or exponiendo información personal.

3) Ajustar la forma de navegar para limitar la superficie de ataque

Para personas que manejan datos sensibles —como periodistas, activistas o profesionales con acceso a información confidencial—, tiene sentido replantearse la forma en que usan la web desde su iPhone, iPad o Mac, con el objectivo de reducir puntos de entrada explotables.

Una recomendación habitual es concentrar la navegación en un único navegador bien configurado, por ejemplo Safari, y evitar cargar el entorno con extensiones no esenciales que puedan introducir más vulnerabilidades o comportamientos inesperados. Cuantas menos piezas y menos código adicional se ejecuten en cada página, más fácil es mantener el control sobre la superficie de ataque.

También conviene moderar la cantidad de enlaces que se abren directamente desde apps de mensajería o redes sociales. En lugar de tocar cualquier URL dentro de un chat, se puede optar por copiar el enlace y abrirlo manualmente en el navegador principal, después de verificar que el dominio y el contenido tienen sentido.

4) Увімкніть режим блокування, якщо існує справжня заклопотаність через нападки

Para quienes sospechan que puedan ser цілі високої цінності o se encuentran en contextos de riesgo —investigaciones delicadas, trabajo con fuentes vulnerables, exposición pública intensa—, merece la pena considerar el uso del Режим блокування (спосіб блокування) від Apple.

Esta función está specíficamente diseñada para frenar ataques avanzados: restringe technologías web complejas, bloquea la mayoría de los adjuntos en mensajes, limita ciertos tipos de llamadas entrantes y cierra vías de entrada que el spyware suele aprovechar. No es una solución pensada para todos los usuarios, ya que puede hacer que la experiencia diaria sea más áspera o limitada.

Sin embargo, en escenarios donde la amenaza no es meramente hipotética, este mecanismo puede proporcionar una barrera adicional importante. En combinación con sistemas actualizados, navegación prudente y buenas practicas de seguridad digital, Режим блокування se convierte en una pieza más de una estrategia defensiva multinivel.

5) Reducir la cantidad de datos personales expuestos en Internet

Los ataques dirigidos rara vez empiezan de la nada. Suelen apoyarse en un proceso previo de reconocimiento y elaboración de perfiles, donde los atacantes recogen datos públicos y semipúblicos sobre sus objetivos para elegir la mejor forma de abordarlos y convencerlos de interactuar con enlaces o archivos.

Cuanta más información personal haya disponible online —direcciones, teléfonos, hábitos, entorno profesional, círculos sociales—, más sencillo resulta construir un mensaje creíble que haga que la víctima baje la guardia. Por eso, revisar la configuración de privacidad en redes sociales y limitar detalles sensibles puede marcar una gran diferencia.

También existe la opción de recurrir a servicios de eliminación de datos en webs de agregadores y corredores de información. Estos servicios suelen encargarse de localizar y solicitar la retirada de registros personales en Múltiples sitios a la vez; no garantizan borrar todo rastro en Internet, pero sí pueden reducir de forma significativa la cantidad de información que circula de manera cómoda para los atacantes.

Al disminuir los datos disponibles, se complica que quienes se dedican a campañas de phishing oa espionaje digital crucen información filtrada con loque encuentran en la web superficial o en la dark web. Esto, en la practica, eleva el coste de atacar a una persona concreta y puede hacer que los atacantes pasen a otros objetivos más fáciles.

6) Estar atento a un comportamiento extraño del dispositivo

No cualquier fallo del teléfono es síntoma de un ataque sofisticado, pero sí merece la pena prestar atención a cambios persistentes en el comportamiento del dispositivo: cierres inesperados de Safari, reinicios frecuentes, sobrecalentamiento sin motivo aparente, consumo de batería anómalo o ralentizaciones extremas.

Por sí solos, estos signos no prueban que exista un compromiso; la mayoría de las veces se deben a errores de software, apps mal optimizadas o problems de configuración. Sin embargo, si el patrón se repite aunque se cierren aplicaciones y se reinicie el equipo, conviene tomar medidas más firmes.

En ese punto, lo más razonable es asegurarse de que todas las actualizaciones de seguridad estén instaladas y, si las anomalías continúan, considerar un скидання пристрою o incluso una restauración completa desde una copia de seguridad de confianza. Para usuarios en entornos de alto riesgo, también puede ser útil consultar a un equipo de seguridad especializado capaz de analizar el equipo con más detalle.

Un año conúltiples zero-days explotados en el ecosistema Apple

Aunque Apple no ha revelado quién fue atacado ni el profil de los agresores en este último episodio, el patrón encaja con campañas anteriores de software espía que han tenido como diana a periodistas, defensores de derechos humanos, figuras políticas y otras personas con acceso a información sensible.

Contando estos dos fallos de WebKit, la compañía suma ya siete vulnerabilidades de día cero explotadas en la naturaleza a lo largo de 2025. La cifra incluye bugs divulgados a principios de año y una actualización de septiembre pensada para dar cobertura adicional a dispositivos más antiguos que seguían en circulación.

Паралельно Apple підтвердила версію iOS 26.2 для видалення більшого пакета виправлення та вдосконалення no directamente relacionadas con este incidente, desde parches para otras aplicaciones y servicios hasta nuevas funciones en áreas como Recordatorios, AirDrop, seguimiento del sueño y Podcasts. Aun así, son estas dos vulnerabilidades de día cero las que han acaparado la atención por el riesgo que suponen en manos de atacantes bien organizados.

La combinación de amenazas cada vez más avanzadas, uso continuado de exploits de día cero y capacidad de respuesta mediante parches rápidos retrata un entorno en el que la seguridad deja de ser algo estático. Tanto grandes proveedores tecnológicos como usuarios finales seven obligados a moverse rápido: las compañías mejorando la protección de sus plataformas y los usuarios manteniendo sus equipos al día, afinando sus hábitos digitales y, cuando es necesario, recurriendo a medidas defensivas más estrictas.

Estas dos vulnerabilidades de día cero explotadas en ataques dirigidos recuerdan que incluso los dispositivos mejor protegidos pueden verse comprometidos si se combinan fallos desconocidos con campañas cuidadosamente diseñadas. Mantenerse actualizado, cuestionar los enlaces que llegan por cualquier canal, reducir la huella de datos personales y, en los casos de mayor riesgo, activar modos de protección reforzada son piezas clave para convivir con un panorama en el que las operaciones de spyware y vigilancia digital siguen ganando sofisticación año tras año.