NUEVO ¡Ahora puedes escuchar los artículos de Fox News!
Apple ha lanzado actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero que los atacantes han estado explotando activamente en ataques altamente dirigidos.
La compañía describió la actividad como un “ataque extremadamente sofisticado” dirigido a individuos específicos. Aunque Apple no identificó a los atacantes ni a las víctimas, el alcance limitado sugiere fuertemente operaciones de espionaje en lugar de delitos cibernéticos generalizados.
Ambas fallas afectan a WebKit, el motor de navegador detrás de Safari y todos los navegadores en iOS. Como resultado, el riesgo es significativo. En algunos casos, simplemente visitar una página web maliciosa puede ser suficiente para desencadenar un ataque.
A continuación, analizamos lo que significan estas vulnerabilidades y explicamos cómo puede protegerse mejor.
Suscríbete a mi informe gratuito CyberGuy
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía de supervivencia definitiva contra estafas, gratuita al unirte a mi boletín CYBERGUY.COM.
Apple lanzó actualizaciones de emergencia después de confirmar que dos fallas de día cero en WebKit estaban siendo explotadas activamente en ataques dirigidos. (REUTERS/Thomas Peter/File Photo)
NUEVAS ESTAFAS CON IPHONE ENGAÑAN A LOS PROPIETARIOS PARA QUE REGALEN SUS TELÉFONOS
Lo que Apple dice sobre las vulnerabilidades de día cero
Las dos vulnerabilidades se rastrean como CVE-2025-43529 y CVE-2025-14174, y Apple confirmó que ambas fueron explotadas en los mismos ataques en el mundo real. Según el boletín de seguridad de Apple, las fallas fueron abusadas en versiones de iOS lanzadas antes de iOS 26, y los ataques se limitaron a “individuos específicos y dirigidos”.
CVE-2025-43529 es una vulnerabilidad de uso después de liberación de WebKit que puede conducir a la ejecución de código arbitrario cuando un dispositivo procesa contenido web creado maliciosamente. En pocas palabras, permite a los atacantes ejecutar su propio código en un dispositivo engañando al navegador para que gestione incorrectamente la memoria. Apple acreditó al Grupo de análisis de amenazas de Google el descubrimiento de esta falla, lo cual es un fuerte indicador de actividad de espionaje comercial o estatal.
La segunda falla, CVE-2025-14174, también es un problema de WebKit, esta vez que involucra la corrupción de la memoria. Si bien Apple describe el impacto como corrupción de la memoria en lugar de ejecución directa de código, estos tipos de errores a menudo se encadenan con otras vulnerabilidades para comprometer por completo un dispositivo. Apple dice que este problema fue descubierto conjuntamente por Apple y el Grupo de análisis de amenazas de Google.
En ambos casos, Apple reconoció que estaba al tanto de los informes que confirmaban la explotación activa en la naturaleza. Este lenguaje es importante porque Apple normalmente lo reserva para situaciones en las que ya se han producido ataques, no solo riesgos teóricos. La compañía dice que abordó los errores a través de una mejor gestión de la memoria y mejores comprobaciones de validación, sin compartir detalles técnicos más profundos que podrían ayudar a los atacantes a replicar las explotaciones.
Dispositivos afectados y señales de divulgación coordinada
Apple ha lanzado parches en todos sus sistemas operativos compatibles, incluidas las últimas versiones de iOS, iPadOS, macOS, Safari, watchOS, tvOS y visionOS.
Según el asesoramiento de Apple, los dispositivos afectados incluyen el iPhone 11 y modelos más nuevos, múltiples generaciones de iPad Pro, iPad Air desde la tercera generación en adelante, el iPad de octava generación y más reciente, y el iPad mini a partir de la quinta generación. Esto cubre la gran mayoría de los iPhones y iPads que todavía están en uso activo en la actualidad.
Apple ha parcheado las fallas en todo su ecosistema. Las correcciones están disponibles en iOS 26.2 y iPadOS 26.2, iOS 18.7.3 y iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 y Safari 26.2. Debido a que Apple requiere que todos los navegadores de iOS utilicen WebKit bajo el capó, el mismo problema subyacente también afectó a Chrome en iOS.
6 pasos que puede seguir para protegerse de tales vulnerabilidades
Aquí hay seis pasos prácticos que puede tomar para mantenerse seguro, especialmente a la luz de ataques de día cero altamente dirigidos como este.
CORREOS ELECTRÓNICOS REALES DE SOPORTE DE APPLE UTILIZADOS EN UNA NUEVA ESTAFA DE PHISHING
Debido a que WebKit impulsa Safari y todos los navegadores de iOS, incluso una página web maliciosa puede ser suficiente para poner en riesgo a los dispositivos sin parches. (Jakub Porzycki/NurPhoto via Getty Images)
1) Instala las actualizaciones tan pronto como estén disponibles
Esto parece obvio, pero es más importante que nada. Los ataques de día cero se basan en que las personas ejecuten software desactualizado. Si Apple lanza una actualización de emergencia, instálala el mismo día si puede. Retrasar las actualizaciones a menudo es la única ventana que necesitan los atacantes. Si tiende a olvidar las actualizaciones, deje que sus dispositivos lo hagan por usted. Habilite las actualizaciones automáticas para iOS, iPadOS, macOS y Safari. De esa manera, estará protegido incluso si se pierde las noticias o está de viaje.
2) Tenga cuidado con los enlaces, incluso de personas que conoce
La mayoría de las explotaciones de WebKit comienzan con contenido web malicioso. Evite tocar enlaces aleatorios enviados a través de SMS, WhatsApp, Telegram o correo electrónico a menos que los esté esperando. Si algo parece extraño, abra el sitio más tarde escribiendo la dirección usted mismo.
La mejor manera de protegerse de los enlaces maliciosos que instalan malware, que potencialmente accede a su información privada, es tener un software antivirus instalado en todos sus dispositivos. Esta protección también puede alertarle sobre correos electrónicos de phishing y estafas de ransomware, manteniendo segura su información personal y sus activos digitales.
Obtenga mis mejores opciones para los ganadores de protección antivirus de 2025 para sus dispositivos Windows, Mac, Android e iOS en Cyberguy.com.
3) Utilice una configuración de navegación tipo bloqueo
Si es periodista, activista o alguien que trabaja con información confidencial, considere reducir su superficie de ataque. Utilice solo Safari, evite las extensiones de navegador innecesarias y limite la frecuencia con la que abre enlaces dentro de las aplicaciones de mensajería.
4) Active el modo de bloqueo si se siente en riesgo
El modo de bloqueo de Apple está diseñado específicamente para ataques dirigidos. Restringe ciertas tecnologías web, bloquea la mayoría de los archivos adjuntos de mensajes y limita los vectores de ataque comúnmente utilizados por el spyware. No es para todos, pero existe para situaciones como esta.
5) Reduzca sus datos personales expuestos
Los ataques dirigidos a menudo comienzan con la creación de perfiles. Cuanto más datos personales sobre usted estén disponibles en línea, más fácil será elegirlo como objetivo. Eliminar datos de los sitios de intermediarios y ajustar la configuración de privacidad de las redes sociales puede reducir su visibilidad.
Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Internet, un servicio de eliminación de datos es una opción inteligente. No son baratos, y su privacidad tampoco lo es. Estos servicios hacen todo el trabajo por usted monitoreando activamente y borrando sistemáticamente su información personal de cientos de sitios web. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar sus datos personales de Internet. Al limitar la información disponible, reduce el riesgo de que los estafadores crucen datos de las violaciones de seguridad con la información que puedan encontrar en la dark web, lo que dificulta que lo ataquen.
Consulte mis mejores opciones para los servicios de eliminación de datos y obtenga un escaneo gratuito para averiguar si su información personal ya está en la web visitando Cyberguy.com.
Obtenga un escaneo gratuito para averiguar si su información personal ya está en la web: Cyberguy.com.
Apple insta a los usuarios a instalar las últimas actualizaciones, especialmente a aquellos que puedan enfrentar amenazas dirigidas de mayor riesgo. (Cheng Xin/Getty Images)
6) Preste atención al comportamiento inusual del dispositivo
Los bloqueos inesperados, el sobrecalentamiento, el agotamiento repentino de la batería o el cierre repentino de Safari a veces pueden ser señales de advertencia. Estos no significan automáticamente que su dispositivo esté comprometido. Sin embargo, si algo parece mal constantemente, actualizar inmediatamente y restablecer el dispositivo es una buena medida.
Lo más importante de Kurt
Apple no ha compartido detalles sobre quiénes fueron los objetivos o cómo se entregaron los ataques. Sin embargo, el patrón se ajusta estrechamente a campañas de espionaje pasadas que se centraron en periodistas, activistas, figuras políticas y otras personas de interés para los operadores de vigilancia. Con estos parches, Apple ha corregido ahora siete vulnerabilidades de día cero que fueron explotadas en la naturaleza en 2025. Eso incluye fallas reveladas a principios de este año y una corrección retroportada en septiembre para dispositivos más antiguos.
¿Ya ha instalado la última actualización de iOS o iPadOS o todavía lo está posponiendo? Háganoslo saber escribiéndonos en Cyberguy.com.
HAZ CLIC AQUÍ PARA DESCARGAR LA APLICACIÓN DE FOX NEWS
Suscríbete a mi informe gratuito CyberGuy
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva de supervivencia contra estafas, gratuita al unirte a mi boletín CYBERGUY.COM.
Copyright 2025 CyberGuy.com. Todos los derechos reservados.
