Apple ha utilizado por primera vez su nuevo mecanismo Background Security Improvements (BSI) para cerrar una vulnerabilidad crítica en el motor WebKit, evitando que los usuarios tengan que instalar una actualización completa del sistema operativo o reiniciar sus dispositivos. El parche se ha distribuido de forma automática a iPhone, iPad y Mac con versiones actuales de iOS, iPadOS y macOS, marcando un paso importante en la forma en que Apple gestiona las actualizaciones de seguridad.
Vulnerabilidad WebKit CVE-2026-20643 y el impacto sobre la Same Origin Policy
La falla, identificada como CVE-2026-20643, está relacionada con el tratamiento incorrecto de peticiones en la Navigation API de WebKit. El problema residía en el manejo del contexto cross-origin, que en condiciones específicas permitía eludir la Same Origin Policy (SOP) al procesar contenido web malicioso especialmente preparado.
La Same Origin Policy es un pilar de la seguridad web: impide que scripts cargados desde un sitio accedan libremente a datos de otro dominio. Este aislamiento protege cookies de sesión, tokens de autenticación, información personal y datos sensibles. Cualquier bypass fiable de la SOP en el nivel del motor del navegador se considera una vulnerabilidad de alto riesgo, ya que abre la puerta al robo de cuentas, escalada de privilegios y ataques dirigidos contra servicios corporativos.
Explotación a través de la Navigation API y escenarios de ataque
Según la información publicada por Apple, la vulnerabilidad fue descubierta por el investigador de seguridad Thomas Espach. El vector de ataque consistía en que una página maliciosa podía forzar una navegación anómala entre distintos orígenes, generando condiciones en las que el navegador trataba recursos de dominios diferentes como si pertenecieran al mismo sitio.
En un escenario práctico, un atacante podría atraer a la víctima a una web controlada por él y, mediante una combinación de redirecciones y llamadas a la Navigation API, obtener acceso a datos que la SOP debería mantener aislados, como información de otras pestañas o aplicaciones web abiertas. Para mitigar este riesgo, Apple ha reforzado la validación de datos de entrada y del contexto de navegación dentro de los componentes afectados de WebKit, una estrategia habitual para corregir errores lógicos en motores de navegador.
Background Security Improvements: actualizaciones de seguridad en segundo plano para iOS y macOS
El parche se ha entregado dentro de las versiones iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a), pero la novedad no es solo el contenido, sino el canal: el nuevo mecanismo Background Security Improvements. Este sistema está diseñado para distribuir pequeñas actualizaciones de seguridad, frecuentes y específicas, centradas en componentes críticos como Safari, WebKit y bibliotecas del sistema.
La filosofía detrás de BSI es reducir al mínimo la ventana de exposición, es decir, el tiempo entre la divulgación o detección de una vulnerabilidad y la instalación efectiva del parche en los dispositivos de los usuarios. Informes de organismos como ENISA o proveedores de respuesta a incidentes muestran que el tiempo entre la publicación de un fallo de alto impacto y su explotación activa suele ser muy reducido, en ocasiones de pocos días. En este contexto, la velocidad en la distribución de parches es tan crítica como la calidad técnica de la corrección.
De Rapid Security Response a BSI: evolución en la gestión de parches
Apple ya había introducido un mecanismo similar con Rapid Security Response en iOS 16, que permitía instalar correcciones sin esperar a grandes versiones del sistema. BSI lleva esta idea un paso más allá: las actualizaciones se aplican de forma más discreta y menos intrusiva, a menudo en segundo plano y con poca o ninguna interacción del usuario. Esto facilita que un mayor porcentaje de la base instalada esté protegido frente a exploits de navegador y ataques a la cadena de suministro de software.
Configuración, desactivación de BSI y riesgos para usuarios y empresas
La función de mejoras de seguridad en segundo plano está disponible a partir de iOS 26.1, iPadOS 26.1 y macOS 26, y se gestiona desde el apartado “Privacidad y seguridad”. La opción de instalación automática viene activada por defecto, y las recomendaciones oficiales apuntan a mantenerla habilitada, especialmente en dispositivos que manejan información confidencial o se utilizan en entornos laborales y administrativos.
Si el usuario desactiva las actualizaciones BSI, las correcciones de seguridad seguirán llegando, pero integradas en el siguiente gran lanzamiento del sistema operativo. Esto alarga el periodo en que el dispositivo permanece vulnerable a problemas ya resueltos, lo que es especialmente grave en el caso de vulnerabilidades de navegador, tradicionalmente muy explotadas. Aún más delicado es el caso de eliminar una actualización BSI ya instalada: el dispositivo revierte a la versión base (por ejemplo, iOS 26.3.1) sin los parches intermedios, desactivando de golpe todas las mitigaciones aplicadas mediante BSI hasta que se distribuyan de nuevo o se incorporen a una versión mayor.
En entornos corporativos gestionados por soluciones MDM (Mobile Device Management), cualquier cambio en la política de actualizaciones debe acompañarse de una evaluación de riesgos. Desactivar BSI puede simplificar pruebas internas de compatibilidad, pero incrementa la probabilidad de una intrusión exitosa vía WebKit, Safari o librerías del sistema. Las mejores prácticas de ciberseguridad recomiendan mantener actualizaciones automáticas activas, establecer procesos de gestión de parches bien definidos y monitorizar de forma continua los avisos de seguridad de plataformas como Apple.
La adopción activa de Background Security Improvements por parte de Apple refleja una tendencia clara en la industria: en un escenario de ataques crecientes contra navegadores y cadenas de suministro, la rapidez en la respuesta es clave para reducir el riesgo de compromiso. Mantener BSI habilitado, revisar de forma periódica la configuración de seguridad y fomentar la formación básica en ciberseguridad entre usuarios y empleados son medidas concretas que ayudan a aprovechar al máximo estos mecanismos y a reforzar la protección frente a futuras vulnerabilidades críticas en WebKit y otros componentes esenciales.
