Apple publicó actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero que estaban siendo explotadas activamente en ataques altamente dirigidos contra personas específicas, informó la propia compañía.
La empresa calificó la actividad como un “ataque extremadamente sofisticado”, sin identificar a los responsables ni a las víctimas. Sin embargo, el alcance limitado de los ataques apunta a operaciones de espionaje, más que a campañas de ciberdelito masivo.
Ambas fallas afectan a WebKit, el motor del navegador utilizado por Safari y por todos los navegadores en iOS, lo que eleva de forma significativa el nivel de riesgo. En algunos casos, basta con visitar una página web maliciosa para que el ataque se ejecute.
Las vulnerabilidades fueron registradas como CVE-2025-43529 y CVE-2025-14174, y Apple confirmó que ambas fueron utilizadas en los mismos ataques reales, dirigidos a dispositivos con versiones de iOS anteriores a iOS 26.
La primera falla, CVE-2025-43529, corresponde a un error de “uso después de la liberación” en WebKit, que puede permitir la ejecución de código arbitrario al procesar contenido web manipulado. Este tipo de vulnerabilidad permite a un atacante ejecutar su propio código engañando al navegador para que gestione incorrectamente la memoria. Apple atribuyó su descubrimiento al Grupo de Análisis de Amenazas de Google, un actor que suele estar vinculado a investigaciones sobre spyware comercial y operaciones de estados-nación.
El segundo fallo, CVE-2025-14174, también está relacionado con WebKit y se debe a un problema de corrupción de memoria. Aunque Apple no lo describe como ejecución directa de código, este tipo de errores puede combinarse con otras vulnerabilidades para lograr el control total de un dispositivo. Este problema fue identificado de forma conjunta por Apple y el mismo grupo de análisis de Google.
En ambos casos, Apple reconoció que tenía conocimiento de reportes que confirmaban la explotación activa de las vulnerabilidades en el mundo real, una advertencia que la compañía suele reservar para situaciones en las que ya se han producido ataques efectivos. Las correcciones se implementaron mediante mejoras en la gestión de memoria y en los procesos de validación, sin divulgar detalles técnicos adicionales.
Los parches ya están disponibles para todo el ecosistema de Apple, incluidos iOS, iPadOS, macOS, Safari, watchOS, tvOS y visionOS. Los dispositivos afectados abarcan desde el iPhone 11 y modelos posteriores, así como varias generaciones de iPad Pro, iPad Air desde la tercera generación, iPad de octava generación en adelante y iPad mini desde la quinta generación, es decir, la mayoría de los equipos Apple que siguen en uso actualmente.
Apple recomendó a los usuarios actualizar de inmediato a las versiones corregidas: iOS 26.2 y iPadOS 26.2, iOS 18.7.3 y iPadOS 18.7.3, macOS Tahoe 26.2, Safari 26.2, tvOS 26.2, watchOS 26.2 y visionOS 26.2. Dado que Apple obliga a todos los navegadores en iOS a utilizar WebKit, el problema también afectaba a aplicaciones como Chrome en dispositivos Apple.
