Últimas novedades en ciberseguridad para iPhone y dispositivos Apple

  • Apple corrige decenas de vulnerabilidades críticas en iOS, iPadOS y macOS que afectan a memoria, WebKit, Bluetooth, VPN y privacidad.
  • El nuevo Sistema de Control de Integridad de Memoria (MIE) en iPhone 17 dificulta enormemente los exploits basados en fallos de memoria y el spyware mercenario.
  • Los ataques 0‑day, de cero clic, el spyware y el phishing siguen en aumento, por lo que actualizar rápido y reforzar contraseñas y permisos es esencial.
  • La combinación de parches constantes de Apple y buenos hábitos del usuario marca la diferencia para mantener seguro el ecosistema Apple.
Cristian Garcia

16 minutos

Últimas novedades en ciberseguridad para iPhone y dispositivos Apple

La seguridad en iPhone y dispositivos Apple lleva años siendo uno de los grandes argumentos de la marca. El famoso “jardín amurallado” ha protegido a millones de usuarios gracias a un ecosistema muy controlado, revisiones estrictas de apps y parches rápidos. Pero el panorama ha cambiado: los ataques son más complejos, se aprovechan de fallos de memoria, vulnerabilidades en Safari o iMessage y, en muchos casos, están impulsados por actores estatales que invierten millones en cadenas de exploits.

En los últimos tiempos hemos visto oleadas de vulnerabilidades críticas, 0‑days y campañas de spyware mercenario dirigidas contra usuarios de iPhone, iPad y Mac. Apple responde encadenando actualizaciones de seguridad, nuevas capas de protección en iOS, iPadOS y macOS, e incluso avanzando a nivel de chip con tecnologías como el Sistema de Control de Integridad de Memoria (MIE). Vamos a repasar, con calma y sin dramas pero con los pies en el suelo, qué está pasando, qué parches se han publicado, qué novedades ha introducido Apple y qué puedes hacer tú para no convertir tu iPhone en un coladero. Vamos allá con las Últimas novedades en ciberseguridad para iPhone y dispositivos Apple.

Un ecosistema muy seguro… pero bajo fuego constante

App Store premios 2025

Sc

Apple presume, con razón, de un ecosistema cerrado y muy vigilado: App Store curada, revisiones automatizadas y manuales, políticas duras contra el malware, cifrado por defecto y una arquitectura de sandbox que limita lo que cada app puede hacer. Aun así, la compañía reconoce que siguen apareciendo ataques de altísima complejidad, sobre todo vinculados a spyware mercenario como Pegasus o herramientas similares que apuntan a periodistas, activistas o perfiles de alto valor.

La compañía mantiene una política clara: no detalla públicamente las vulnerabilidades hasta que hay parche disponible. Solo entonces publica el contenido de seguridad de cada versión (por ejemplo, iOS 18, iOS 18.6.2, versiones de iPadOS o macOS Sequoia, Sonoma y Ventura), normalmente ligadas a un gran listado de CVE con el impacto, el componente afectado y la persona o equipo investigador acreditado.

Este enfoque tiene una consecuencia directa: hay una ventana de riesgo entre que se descubre el fallo y el usuario instala la actualización. En el caso de los exploits de día cero y ataques de cero clic, esa ventana es crítica, porque los atacantes pueden comprometer dispositivos sin que la víctima haga absolutamente nada.

En paralelo, la presión regulatoria (especialmente en la Unión Europea) está forzando cambios como el sideloading o las tiendas de apps alternativas, que abren nuevos vectores de ataque aunque Apple intente compensarlos con procesos de Notarización y revisiones de seguridad mínimas para todo lo que se distribuye en sus plataformas.

Vulnerabilidades recientes en iOS, iPadOS y macOS: un auténtico aluvión de CVE

Cómo buscar y usar tus apps en la biblioteca del iPad

Iphone 14. Apple inc. smartphone with ios 14. Locked screen, phone navigation page, home page with 47 popular apps. Vector illustration EPS10. Editorial

Las últimas notas de seguridad de Apple para iOS 18 y iPadOS 18 recogen decenas de vulnerabilidades corregidas que afectan tanto al sistema operativo como a apps y frameworks clave (WebKit, Bluetooth, kernel, accesibilidad, VPN, etc.). Todas ellas impactan a un abanico amplio de dispositivos: iPhone XS y modelos posteriores, iPad Pro (13, 12,9 y 11 pulgadas en distintas generaciones), iPad Air 3.ª gen o posterior, iPad 7.ª gen o posterior e iPad mini 5.ª gen o posterior.

Muchas de estas vulnerabilidades tienen algo en común: permiten saltarse restricciones de privacidad, corromper memoria o filtrar datos sensibles. A modo de ejemplo, se han corregido fallos que:

  • Permiten a una app maliciosa grabar la pantalla sin avisar (CVE-2024-27876), algo que abre la puerta a espiar todo lo que haces, incluidas contraseñas y chats.
  • Facilitan la enumeración de las apps instaladas en el dispositivo por parte de otras apps (CVE-2024-40830), dato muy útil para un atacante que quiera perfilar a la víctima.
  • Provocan denegaciones de servicio o cierres inesperados al procesar imágenes, archivos o contenido web (CVE-2024-44126, CVE-2024-27880, CVE-2024-44183, entre otros).
  • Permiten saltarse la VPN y filtrar tráfico fuera del túnel seguro (CVE-2024-44169), con el consiguiente riesgo de exposición en redes públicas.
  • Otorgan acceso no autorizado a Bluetooth o a la red local (CVE-2024-44165, CVE-2024-44147), algo que podría aprovecharse para moverse lateralmente en una red corporativa.

En numerosos casos, la solución pasa por mejorar la gestión del estado interno, reforzar las comprobaciones de límites de memoria o endurecer la validación de entradas y de enlaces simbólicos. Es decir, trabajo de fontanería profunda en el código que los usuarios no ven, pero que marca la diferencia entre un exploit funcional o un simple fallo inocuo.

Además, Apple es bastante transparente a la hora de agradecer el trabajo de la comunidad de investigadores: en las notas de seguridad aparecen nombres como Abhay Kailasia, Csaba Fitzl, Daniele Antonioli, Mathy Vanhoef, investigadores de Jamf, Trend Micro Zero Day Initiative, Google Project Zero, universidades y empresas de seguridad de todo el mundo. Ese ecosistema de “cazadores de bugs” externos es clave para que los fallos se descubran antes los buenos que los malos.

Errores de bloqueo, Siri, pantalla de bloqueo y accesibilidad

Un bloque de vulnerabilidades especialmente delicado está relacionado con lo que puede hacerse con el iPhone bloqueado y con cómo se gestionan las funciones de accesibilidad y Siri desde la pantalla de bloqueo. Aquí vemos varias CVE con un patrón claro: el atacante necesita acceso físico al dispositivo, pero si lo obtiene, puede saltarse parte de las barreras previstas.

Entre los casos más sonados, se han corregido fallos que permitían a un atacante con el móvil en la mano utilizar Siri para acceder a datos sensibles o activar llamadas de respuesta automática (CVE-2024-40840, CVE-2024-44179). También se han cerrado huecos que facilitaban:

  • Ver fotos recientes sin autenticación mediante el acceso asistido (CVE-2024-40852).
  • Acceder a números de contacto o a la agenda desde la pantalla de bloqueo sin pasar por el código o Face ID (CVE-2024-44145, CVE-2024-40853, CVE-2024-44139, CVE-2024-44180).
  • Controlar dispositivos cercanos a través de funciones de accesibilidad con el dispositivo todavía bloqueado (CVE-2024-44171).

En todos estos casos, Apple ha optado por restringir opciones y endurecer la lógica de qué se permite hacer con el dispositivo bloqueado, algo que necesariamente resta algo de comodidad, pero que reduce de forma drástica el riesgo en escenarios de robo o acceso físico no autorizado.

Privacidad: contactos, fototeca, navegación privada y datos sensibles

Otro grupo importante de fallos afecta a la privacidad pura y dura: datos de contactos, fotos, documentos y sesiones de navegación privada. En varios CVE se detalla cómo una app maliciosa podía acceder, sin permiso adecuado, a datos que deberían permanecer bajo llave.

Algunos ejemplos destacables:

  • Acceso a información de contactos a través de entradas de log que no borraban correctamente datos privados (CVE-2024-44198).
  • Lectura o filtrado de datos confidenciales de usuario por problemas de validación de acceso a archivos o enlaces simbólicos (CVE-2024-54469, CVE-2024-44131, CVE-2024-40850).
  • Posibilidad de engañar al usuario para dar acceso a su fototeca por un fallo de registro de clics y gestión de vistas fuera de proceso (CVE-2024-44170).
  • Escritura de documentos no cifrados en archivos temporales al usar la vista previa de impresión (CVE-2024-44217), lo que choca de frente con buenas prácticas de privacidad.
  • Acceso a pestañas de navegación privada sin autenticación por errores de gestión de estado en Safari (CVE-2024-44155, CVE-2024-44202).

Para mitigarlos, Apple ha reforzado la protección de datos en disco, la eliminación de información privada en logs y la ubicación donde se guarda la información sensible. También ha ajustado la lógica de Safari para que el modo de navegación privada requiera autenticación y no se pueda abrir tan alegremente desde el estado bloqueado.

De cara al usuario, el mensaje es claro: aunque iOS haga gran parte del trabajo por ti, sigue siendo vital revisar permisos de apps (acceso a contactos, fotos, micrófono, cámara, ubicación) y desconfiar de aplicaciones que piden de más para lo que dicen hacer.

WebKit, Safari y el riesgo de una simple página web maliciosa

Buena parte de las actualizaciones de emergencia de Apple tienen un protagonista repetido: WebKit, el motor de renderizado que usan Safari y prácticamente todos los navegadores y vistas web integradas en iOS. Cuando WebKit tiene un fallo grave, el impacto es enorme, porque cualquier sitio web o iframe malicioso puede ejecutar código o filtrar datos simplemente con que el usuario lo visite.

En los últimos meses se han parcheado vulnerabilidades que permiten:

  • Ejecutar código arbitrario o provocar cierres inesperados al procesar contenido web especialmente diseñado (CVE-2024-54560, CVE-2024-44198, CVE-2024-54467).
  • Llevar a cabo ataques de ejecución universal de scripts entre sitios (UXSS), es decir, romper el modelo de mismo origen y robar datos de otras webs abiertas (CVE-2024-44192).
  • Filtrar datos entre orígenes mediante iframes y una gestión incorrecta de cookies o del seguimiento de orígenes de seguridad (CVE-2024-27879, CVE-2024-40857, CVE-2024-44187).
  • Saltarse políticas de sandbox de iframes usando esquemas de URL personalizados mal validados (CVE-2024-40826).

En la práctica, esto significa que abrir una web aparentemente inocente puede ser suficiente para quedar expuesto, sin instalar nada ni pulsar en enlaces sospechosos. De ahí que Apple insista tanto en actualizar Safari y WebKit a través de las actualizaciones de iOS y iPadOS.

Aunque en la Unión Europea ya se permiten navegadores con motor propio, eso no garantiza automáticamente más seguridad; simplemente cambia quién es responsable de reparar los agujeros. En todo caso, la receta sigue siendo la misma: mantener siempre la última versión del sistema y del navegador, y evitar hacer clic alegremente en enlaces que llegan por mensajes o correos de dudosa procedencia.

Bluetooth, red local, VPN y Wi‑Fi: el perímetro también se defiende

Más allá de apps y navegador, Apple ha corregido una serie de vulnerabilidades relacionadas con comunicaciones inalámbricas y de red, que impactan directamente en el uso de iPhone, iPad y Mac en redes corporativas o Wi‑Fi públicas.

Entre las más relevantes destacan:

  • Dispositivos Bluetooth maliciosos capaces de saltarse el proceso de emparejamiento (CVE-2024-44124), con el riesgo de inyectar comandos o interceptar tráfico.
  • Apps que lograban acceso no autorizado a Bluetooth por errores de gestión de estado (CVE-2024-44165).
  • Apps que se colaban en la red local sin permisos adecuados (CVE-2024-44147), lo que facilita movimientos laterales dentro de una red de empresa o de casa.
  • Pérdida de integridad en conexiones Wi‑Fi seguras, permitiendo forzar la desconexión de un dispositivo de una red legítima (CVE-2024-40856).
  • Fugas de tráfico fuera de la VPN por problemas de lógica en el enrutado o comprobaciones insuficientes (CVE-2024-44169).

Estas vulnerabilidades han sido corregidas con mejoras en la gestión de estado, protección de balizas Wi‑Fi, corrección de errores de lógica y endurecimiento del tratamiento de conexiones. Para el usuario, sigue siendo fundamental:

  • Conectar solo a redes Wi‑Fi conocidas o con cifrado robusto.
  • Usar una VPN fiable cuando se navega desde redes públicas, sea la integrada en la empresa o soluciones comerciales como Panda Dome VPN, que ofrece protección de Wi‑Fi pública, navegación anónima y ocultación de la IP.
  • Desactivar Bluetooth cuando no se use, reduciendo así la superficie expuesta.

0‑days, corrupción de memoria y el caso CVE-2025-43300

Entre las vulnerabilidades más serias encontramos algunas etiquetadas directamente como 0‑day en explotación activa. Un ejemplo reciente es CVE-2025-43300, un fallo de escritura fuera de los límites de memoria que afecta a:

  • iPhone XS y posteriores (iOS 18.6.2).
  • Diversos modelos de iPad Pro, iPad Air, iPad e iPad mini en iOS/iPadOS 18.6.2.
  • iPadOS 17.7.10 en dispositivos algo más antiguos.
  • macOS Sequoia 15.6.1, Sonoma 14.7.8 y Ventura 13.7.8.

La descripción técnica apunta a una escritura fuera de límites que, explotada de forma controlada, permite a un atacante corromper memoria y potencialmente ejecutar código arbitrario o escalar privilegios. Aunque aún no se han publicado métricas CVSS oficiales, el hecho de que se haya visto en ataques dirigidos justifica su clasificación como 0‑day grave.

Para mitigar este riesgo, el fabricante recomienda actualizar a las últimas versiones disponibles en todos los dispositivos afectados. Aquí no hay mucho misterio: si te quedas en una versión antigua, te quedas con la puerta abierta a un exploit que se sabe que ya está circulando.

MIE: el Sistema de Control de Integridad de Memoria en iPhone 17 y 17 Air

Uno de los movimientos más ambiciosos de Apple en materia de ciberseguridad es el Sistema de Control de Integridad de Memoria (MIE), una nueva capa de defensa integrada en los iPhone 17 y 17 Air. Este sistema nace de cinco años de trabajo conjunto con ARM y de cambios tanto en los chips A19/A19 Pro como en el propio sistema operativo y herramientas de desarrollo.

La idea es ofrecer una protección de memoria continua y de amplio alcance que cubra las principales superficies de ataque, incluido el kernel y más de 70 procesos de usuario, con un objetivo claro: frenar el spyware mercenario y los exploits que abusan de vulnerabilidades de memoria sin penalizar el rendimiento.

El MIE se apoya en varios pilares técnicos:

  • Asignadores de memoria seguros propios de Apple, reforzados para detectar y evitar accesos indebidos.
  • Enhanced Memory Tagging Extension (EMTE), una extensión que permite etiquetar cada bloque de memoria con una “clave” secreta.
  • Políticas de Tag Confidentiality Enforcement, que controlan cómo se manejan y actualizan esas etiquetas.

En la práctica, cada bloque de memoria recibe una etiqueta secreta almacenada en el propio hardware. Cuando un proceso intenta acceder a esa memoria, el sistema comprueba que la etiqueta que presenta coincide con la real; si no, bloquea el acceso y finaliza el proceso comprometido. Además, cada vez que la memoria se usa de forma legítima, la etiqueta se renueva automáticamente, complicando aún más la vida al atacante.

Apple sostiene que este sistema encarecerá muchísimo el desarrollo y mantenimiento de las cadenas de exploits, y que puede dejar obsoletas “muchas de las técnicas de explotación más efectivas de los últimos 25 años”. Eso sí, de momento solo está disponible en la gama iPhone 17 y 17 Air y no llegará a dispositivos anteriores, por depender de capacidades de hardware específicas de A19 y A19 Pro.

Exploits de día cero, ataques de cero clic y spyware mercenario

Más allá de los detalles técnicos, el gran quebradero de cabeza hoy en día son los ataques de día cero y de cero clic. Los primeros explotan vulnerabilidades que Apple todavía no conoce o no ha parcheado; los segundos permiten comprometer un dispositivo sin que el usuario tenga que pulsar nada, a menudo a través de mensajes en iMessage, WhatsApp o contenido multimedia interpretado en segundo plano.

Herramientas como Pegasus han aprovechado cadenas de exploits en iMessage y otros componentes para instalar spyware sin dejar rastro visible. Más recientemente se han desmantelado campañas con spyware como Paragon/Graphite a través de WhatsApp, dirigidas a periodistas y miembros de la sociedad civil en decenas de países. Apple indica que la mayoría de ataques a nivel de sistema identificados en iOS provienen precisamente de este tipo de spyware mercenario.

Son ataques muy distintos al malware “de consumo”: cadenas de exploits que cuestan millones de dólares, desarrolladas por empresas especializadas, vendidas a gobiernos y enfocadas a un grupo muy reducido de objetivos. El Modo de Aislamiento de Apple y ahora el MIE en los iPhone 17 son la respuesta directa a este tipo de amenazas.

Para los usuarios que creen poder ser objetivo de estos ataques (periodistas, activistas, cargos públicos, altos directivos), es vital:

  • Activar el Modo de Aislamiento en iOS si Apple o un proveedor de seguridad lo recomienda.
  • Mantener las actualizaciones automáticas activadas y aplicar cada parche en cuanto salga.
  • Valorar el uso de soluciones de seguridad adicionales que monitoricen conducta anómala en el dispositivo.

Ingeniería social, cuentas de iCloud y robo físico del dispositivo

También hay amenazas que no dependen tanto de fallos técnicos como de errores humanos o malas prácticas. El phishing, el spear phishing y otras formas de ingeniería social buscan que seas tú quien entregue tus credenciales de iCloud, tus códigos de 2FA o instale perfiles de configuración peligrosos.

El atacante puede:

  • Acceder a copias de seguridad completas del dispositivo.
  • Localizar, bloquear o borrar dispositivos de forma remota.
  • Leer fotos, mensajes, correos y documentos personales.

A esto se suma el robo físico del iPhone unido a un código de desbloqueo débil (los típicos 1234 o 0000). Si alguien te ve introducirlo o consigue que se lo digas en un momento de descuido, podrá cambiar la contraseña de tu Apple ID, desactivar Buscar mi iPhone y echarte de tu propio ecosistema.

Para ponérselo difícil a cualquiera que vaya de listo, conviene:

  • Configurar un código alfanumérico largo y robusto en lugar de un PIN corto.
  • Usar Face ID o Touch ID siempre que sea posible, sobre todo en lugares públicos.
  • Activar la autenticación en dos factores en el Apple ID y en todos los servicios compatibles y usar llaves de seguridad FIDO.
  • Apoyarse en un gestor de contraseñas para no reutilizar claves entre servicios.
  • Si pierdes el móvil, marcarlo como perdido o borrarlo remotamente desde iCloud en cuanto puedas.

Apps maliciosas, sideloading y cadenas de suministro

A pesar de los filtros de la App Store, de vez en cuando se cuelan apps maliciosas o con comportamiento dudoso. Ahora, con el sideloading y las tiendas de terceros en algunos mercados, el riesgo aumenta: aunque Apple exige Notarización a todas las apps, no aplica los mismos estándares comerciales y de contenido que en su tienda oficial, y eso abre margen a prácticas poco claras o directamente peligrosas.

A esto se suman los ataques a la cadena de suministro, donde el objetivo no eres tú directamente, sino el desarrollador de la app o un SDK de terceros que esa app utiliza. Si el atacante compromete ese eslabón, puede introducir código malicioso en actualizaciones legítimas que llegan a miles de usuarios sin levantar sospechas.

Medidas sensatas para reducir este riesgo:

  • Siempre que puedas, instala apps y actualizaciones desde la App Store oficial.
  • Si recurres a tiendas alternativas, elige solo repositorios reputados (por ejemplo, repos corporativos) y revisa la trayectoria del desarrollador.
  • Mira con lupa opiniones, permisos solicitados y reputación pública de cualquier app nueva.
  • Mantén iOS y todas las apps actualizadas para que cualquier fallo en la cadena de suministro se mitigue cuanto antes.

Spyware personal y control abusivo: el problema del stalkerware

Cómo restablecer la configuración de privacidad y seguridad en tu iPhone en caso de emergencia-8

Por último, no hay que olvidar el fenómeno del stalkerware o spyware personal: aplicaciones que se hacen pasar por soluciones de control parental o monitoreo de empleados, pero que se usan para vigilar a pareja, familiares o compañeros de trabajo sin su consentimiento.

Este tipo de apps pueden registrar ubicación, mensajes, llamadas, uso de apps, fotos e incluso pulsaciones de teclado, y suelen requerir acceso físico previo al dispositivo o el engaño para que el usuario instale un perfil de configuración aparentemente inocuo.

Para detectar y evitar este tipo de control abusivo, es buena idea:

  • Revisar periódicamente qué apps tienen acceso a ubicación, cámara, micrófono y otros permisos delicados.
  • Mirar en Ajustes → General → VPN y gestión de dispositivos para comprobar si hay perfiles o certificados desconocidos.
  • Asegurarse de que el código de acceso y Face ID/Touch ID no los conoce nadie más y cambiarlo si hay dudas.
  • Prestar atención a batería que se agota muy rápido, sobrecalentamiento o rendimiento extraño, posibles señales de procesos ocultos.

Las organizaciones de seguridad y el propio Apple recomiendan buscar ayuda especializada si se sospecha de vigilancia dirigida, especialmente en contextos de violencia de género o entornos laborales tóxicos.

Todo este conjunto de parches, nuevas tecnologías como MIE, mejoras en WebKit, refuerzos en Bluetooth, VPN, Safari, protección de datos y mecanismos anti-spyware demuestra que la ciberseguridad en iPhone y dispositivos Apple es una carrera continua, no una meta alcanzada. Apple invierte en hardware, software y colaboración con investigadores para ir cerrando agujeros, pero el factor decisivo sigue siendo que el usuario mantenga sus dispositivos actualizados, desconfíe de enlaces y apps dudosas, cuide sus contraseñas y aproveche las funciones de protección avanzadas que ya tiene en el bolsillo.

Cómo realizar acciones rápidas en tu iPhone
Artículo relacionado:
Apple confirma un grave fallo de seguridad en el iPhone, te ayudamos a prevenirlo

Te puede interesar:
Según afirma Apple, es la compañía más eficaz del mundo en seguridad
Síguenos en Google News