Recientemente, la compañía Apple ha lanzado una actualización de emergencia para corregir dos vulnerabilidades de día cero que estaban siendo explotadas activamente en lo que la compañía ha descrito como un «ataque extremadamente sofisticado» dirigido a individuos específicos.
Los fallos han sido identificados como: CVE-2025-43529 y CVE-2025-14174, los cuales afectan al motor WebKit, base del navegador Safari y de otras funciones críticas de iOS y macOS. Ambas vulnerabilidades fueron descubiertas por el Grupo de Análisis de Amenazas de Google y el propio equipo de seguridad de Apple.
Apple soluciona vulnerabilidades críticas en WebKit
De acuerdo con el boletín de seguridad, Apple indicó:
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en versiones de iOS anteriores a iOS 26.
El primer fallo CVE-2025-43529, es una vulnerabilidad de ejecución remota de código (RCE) de tipo use-after-free, que permite a un atacante ejecutar código arbitrario al procesar contenido web malicioso.
El segundo fallo CVE-2025-14174, se trata de corrupción de memoria que podría provocar daños al procesar datos especialmente diseñados.
Ambos fallos afectaban a una amplia gama de dispositivos, entre ellos los iPhone 11 y posteriores, iPad Pro (desde la tercera generación), iPad Air, iPad Mini y modelos de Mac, Apple Watch, Apple TV y Vision Pro.
Actualizaciones disponibles para todos los sistemas
Los Cupertinos han resuelto las vulnerabilidades en las versiones iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 y Safari 26.2. Por otra parte, también lanzó parches de seguridad para las ramas anteriores iOS 18.7.3 y iPadOS 18.7.3, garantizando protección para dispositivos que aún no han actualizado al nuevo sistema.
Curiosamente, Google Chrome también corrigió una falla idéntica, inicialmente registrada como un problema «bajo coordinación». Más tarde, Google actualizó el aviso y confirmó que se trata del mismo fallo CVE-2025-14174, lo que sugiere una divulgación coordinada entre ambas compañías para frenar una misma campaña de ataque.
Ataques dirigidos y posible vínculo con spyware
Como era de esperar, Apple no ha revelado detalles técnicos sobre los ataques, pero si afirmó que estaban dirigidos a usuarios con versiones antiguas de iOS, lo que sugiere la implicación de software espía o herramientas de vigilancia selectiva.
Debido a que WebKit también se utiliza en Google Chrome para iOS, se cree que los ataques podrían estar relacionados con campañas de spyware de alto nivel.
Aunque estas vulnerabilidades se explotaron en contextos limitados, los expertos recomiendan instalar las actualizaciones lo antes posible para evitar posibles riesgos derivados de su reutilización por actores maliciosos.
Con estas correcciones, Apple ya suma siete vulnerabilidades de día cero corregidas en 2025, continuando con su esfuerzo por mantener la seguridad de su ecosistema frente a amenazas cada vez más avanzadas.