En las últimas semanas, los errores de seguridad y vulnerabilidades en macOS y iOS han estado en el punto de mira. Las investigaciones independientes y los parches de emergencia lanzados por Apple han puesto de relieve la importancia de mantener los dispositivos al día para evitar posibles ataques que puedan poner en riesgo tanto la privacidad como la integridad de los datos personales.
Muchos usuarios tienden a pensar que los sistemas de Apple están blindados ante fallos, pero la realidad demuestra que incluso macOS e iOS pueden ser víctimas de errores críticos. Recientes actualizaciones han subsanado fallos que podrían haber permitido desde el bloqueo de los dispositivos hasta la filtración de información confidencial, afectando tanto a particulares como a empresas.
Errores en los certificados X.509: un vector para bloquear Macs y iPhones
Uno de los problemas más relevantes detectados ha estado relacionado con el procesamiento de certificados digitales X.509. Un estudio realizado por expertos en seguridad de Alibaba y la Universidad de Indiana desveló que certificados malformados podían provocar bloqueos inmediatos en dispositivos macOS e iOS, abriendo la puerta a ataques de denegación de servicio (DoS) y comprometido la disponibilidad de sistemas.
Los certificados X.509 funcionan como DNI digitales en Internet y se usan para asegurar conexiones y verificar la autenticidad de aplicaciones y sitios web. El equipo de investigación desarrolló una herramienta automatizada capaz de generar dichos certificados de forma específica para detectar y explotar vulnerabilidades, encontrando 18 fallos de seguridad nuevos (CVE) y confirmando 12 ya conocidos en distintas bibliotecas criptográficas, incluido el ecosistema Apple.
Entre los hallazgos destacan tres puntos principales: un análisis exhaustivo de las bibliotecas criptográficas, la creación de una herramienta de detección de errores y el modelado de amenazas para establecer estrategias de mitigación. Este estudio fue presentado en la conferencia USENIX Security, subrayando la necesidad de prestar más atención a estos problemas, ya que pueden comprometer la seguridad global de macOS e iOS.
Spotlight y Apple Intelligence: la vulnerabilidad que dejó expuestos datos privados
Microsoft también descubrió y reportó una vulnerabilidad importante en Spotlight, el buscador integrado de macOS, tras encontrar que un exploit permitía esquivar el sistema de Transparencia, Consentimiento y Control (TCC). Este fallo, conocido como «Sploitlight», habría facilitado a un atacante el acceso a datos especialmente sensibles protegidos por Apple, incluyendo información de geolocalización, archivos descargados, preferencias, datos de reconocimiento facial y hasta historiales de búsqueda.
El problema se originaba en la interacción entre los plugins de Spotlight y la gestión de permisos de macOS, lo que permitía manipular paquetes de aplicaciones para extraer o filtrar información sin que el usuario lo supiera. Aunque no se han documentado casos de explotaciones masivas, Apple lanzó en marzo un parche urgente que cerró la vulnerabilidad en macOS 15.4 e iOS 18.4 tras el aviso de los investigadores de Microsoft, además de mejorar otros aspectos relacionados con la privacidad.
Errores solucionados en iOS 18.6: desde el fallo en Fotos hasta VoiceOver y WebKit
Con la reciente llegada de iOS 18.6, Apple ha centrado sus esfuerzos en reparar errores que, aunque no siempre visibles, comprometían seriamente la experiencia y seguridad de los usuarios. Uno de los más molestos afectaba a la app Fotos, impidiendo compartir recuerdos en vídeo; con la actualización, esta limitación ha sido corregida para todos los iPhone compatibles.
No solo se han solventado problemas funcionales, sino que se han añadido correcciones de seguridad fundamentales. Por ejemplo, se detectó un bug que, al tener activada la función VoiceOver, el código de desbloqueo podía leerse en voz alta sin previo aviso. Este fallo, catalogado como CVE-2025-31229, planteaba riesgos de exposición de contraseñas en espacios públicos, y ha sido corregido.
Otros puntos solucionados incluyen la reparación de indicadores de privacidad (CVE-2025-43217), la corrupción de memoria al manejar ciertos archivos de audio y ocho vulnerabilidades en WebKit, el motor de Safari, que permitían cierres inesperados del navegador, filtración de información personal y manipulación de la barra de direcciones.
Actualizaciones de seguridad críticas en todo el ecosistema de Apple
Apple no ha limitado las correcciones solo a iOS. Las actualizaciones también incluyen iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 18.6 y visionOS 2.6, cubriendo múltiples vulnerabilidades en cada plataforma. De hecho, macOS Sequoia 15.6 incorpora más de ochenta mejoras de seguridad, y los sistemas anteriores como macOS Sonoma y Ventura, así como iPadOS 17.7.9 para modelos antiguos, también han recibido parches específicos.
Una vulnerabilidad especialmente relevante fue la CVE-2025-6558, originada en código abierto y explotada en navegadores basados en Chromium, como Google Chrome. Aunque Safari no fue atacado directamente, Apple reforzó su sistema para evitar bloqueos inesperados y para proteger a sus usuarios ante posibles amenazas.
Estas incidencias y sus rápidas soluciones resaltan la importancia de mantener siempre los dispositivos actualizado. Muchas vulnerabilidades se arreglan antes de que puedan ser usadas de forma masiva, y tanto Apple como Google y Microsoft recomiendan revisar periódicamente las actualizaciones para garantizar la protección frente a nuevas amenazas.
Las investigaciones recientes y los parches aplicados demuestran que, si bien macOS e iOS cuentan con fuertes medidas de seguridad, ningún sistema es completamente infalible ante vulnerabilidades emergentes. La colaboración entre los equipos de seguridad, los investigadores independientes y la rápida reacción de los usuarios son clave para mantener una experiencia más segura en el día a día.
