Apple ha publicado una actualización de seguridad para iOS y iPadOS que corrige una vulnerabilidad en la subsistema Notification Services, responsable de la gestión de las notificaciones push. El fallo, identificado como CVE-2026-28950, permitía que notificaciones marcadas como eliminadas continuaran almacenadas en el dispositivo, generando un riesgo directo para la confidencialidad de los mensajes.
Qué es CVE-2026-28950 y cómo afectaba a las notificaciones de iOS
Según la descripción de Apple, el problema se debía a un error en el registro y depuración de datos (logging): en lugar de borrar por completo cierta información asociada a las notificaciones, partes del contenido podían seguir presentes en bases de datos internas utilizadas por el sistema para gestionar y mostrar los avisos de las aplicaciones.
En la práctica, esto significa que notificaciones que el usuario creía haber eliminado podían permanecer en almacenamiento interno. Desde un punto de vista de ciberseguridad, se trata de una típica vulnerabilidad de privacidad ligada a registros de sistema: datos que el usuario percibe como borrados, pero que continúan accesibles en capas menos visibles del sistema operativo.
Apple afirma haber solucionado el fallo mediante una mejora en los mecanismos de limpieza y redacción de datos (data redaction), de forma que la información innecesaria deje de registrarse o se elimine de manera correcta al marcar la notificación como borrada.
Relación entre CVE-2026-28950, Signal y una investigación del FBI
El interés en esta vulnerabilidad se ha visto amplificado tras una investigación periodística de 404 Media, que documenta un caso en el que especialistas forenses del FBI lograron extraer copias de mensajes entrantes de Signal desde un iPhone, aun después de que la aplicación hubiera sido desinstalada del dispositivo.
La clave reside en que el contenido de algunos mensajes se habría conservado en la base de datos de notificaciones push de iOS. Incluso si el usuario elimina un chat o desinstala la aplicación, los fragmentos de texto utilizados para construir las notificaciones pueden mantenerse en este almacenamiento interno y ser recuperados mediante herramientas de análisis forense con acceso físico al dispositivo.
No existe información pública concluyente sobre cuándo se introdujo exactamente este comportamiento ni sobre hasta qué punto ha sido explotado por fuerzas de seguridad u organismos privados antes de su corrección. Sin embargo, el caso ilustra cómo una función pensada para la usabilidad puede convertirse en una fuente de filtración de datos sensibles.
Riesgos de las notificaciones push para la privacidad y la seguridad digital
Qué información pueden recuperar forenses y cuerpos de seguridad
La experiencia con Signal confirma que, cuando existe acceso físico a un smartphone y se dispone de herramientas de forense digital, es posible recuperar información no solo de las aplicaciones, sino también de servicios del sistema operativo, como el almacén de notificaciones push.
Organizaciones como la Electronic Frontier Foundation (EFF) llevan años advirtiendo que, para la mayoría de aplicaciones, no es trivial determinar qué metadatos se incluyen en una notificación ni si estos viajan cifrados de extremo a extremo. Detalles como el remitente, el contenido parcial del mensaje, el asunto de un correo o referencias a archivos adjuntos suelen aparecer —al menos de forma resumida— en los banners y alertas.
En el caso de aplicaciones orientadas a la privacidad, como Signal, esto supone un vector de exposición adicional: el cifrado fuerte protege la comunicación en tránsito y en los servidores, pero el sistema operativo puede revelar parte del contenido si las notificaciones muestran demasiado texto o si, como en CVE-2026-28950, el sistema conserva más datos de los estrictamente necesarios.
Respuesta de Apple y medidas adoptadas por Signal
Apple indica que la vulnerabilidad CVE-2026-28950 se ha resuelto modificando la lógica interna de Notification Services, reforzando los procesos de eliminación y minimización de datos. Tras instalar la actualización de iOS o iPadOS afectada, el sistema debería dejar de conservar notificaciones asociadas a aplicaciones desinstaladas o a mensajes marcados como eliminados.
Por su parte, Signal ha aclarado que el usuario no necesita realizar acciones adicionales dentro del propio mensajero. De acuerdo con la información publicada por el proyecto, las notificaciones almacenadas de manera inesperada se eliminarán tras aplicar la actualización del sistema, y las futuras notificaciones dejarán de conservarse para aplicaciones que ya no estén instaladas. El equipo de Signal ha destacado, además, la importancia de que la protección de la privacidad se implemente de forma coherente en toda la cadena: desde la app hasta el sistema operativo.
Recomendaciones prácticas para proteger notificaciones y mensajes en iPhone y iPad
El caso de CVE-2026-28950 subraya un principio básico de seguridad de la información: el cifrado no protege frente a lo que se muestra en pantalla ni frente a cómo el sistema registra esa información. La configuración de notificaciones se convierte, por tanto, en un componente crítico de la seguridad.
Para usuarios de Signal, se recomiendan las siguientes medidas de configuración:
— Abrir el perfil de usuario en Signal → sección «Notificaciones» → opción «Mostrar».
— Seleccionar «Solo nombre» o «No mostrar ni nombre ni mensaje».
— De esta manera se reduce drásticamente la cantidad de contenido sensible visible y, por extensión, el potencialmente almacenable en el sistema de notificaciones.
De forma más general, para reforzar la privacidad en iOS y iPadOS es aconsejable:
— Instalar con rapidez las actualizaciones de seguridad de iOS y iPadOS, especialmente las que corrigen vulnerabilidades catalogadas con CVE.
— Revisar la configuración en Ajustes → Notificaciones y desactivar banners y previsualizaciones para aplicaciones que no sean críticas o de confianza limitada.
— Para comunicaciones sensibles (mensajería, correo, apps corporativas), activar opciones de «ocultar el contenido del mensaje» o «mostrar solo el remitente».
— Considerar las notificaciones push como un canal potencialmente expuesto: cuanto menos texto y metadatos se muestren, menor será la superficie de ataque en casos de acceso físico o análisis forense.
La vulnerabilidad CVE-2026-28950 ilustra que la protección de la comunicación privada no depende solo del uso de aplicaciones seguras, sino también de las decisiones de diseño del sistema operativo y de las elecciones de configuración del propio usuario. Mantener los dispositivos actualizados, limitar el contenido revelado en las notificaciones y aplicar buenas prácticas de higiene digital son pasos esenciales para preservar la confidencialidad tanto en el ámbito personal como en el profesional.
