Usuarios de Apple en múltiples países han recibido una nueva ola de notificaciones por intentos de compromiso vinculados a spyware avanzado. El centro nacional CERT-FR confirmó al menos cuatro tandas de avisos en 2025 (5 de marzo, 29 de abril, 25 de junio y 3 de septiembre). Los mensajes se enviaron a teléfonos y correos asociados al Apple ID y aparecieron tras iniciar sesión en account.apple.com.
Ataques dirigidos a usuarios de alto riesgo: perfiles más expuestos
De acuerdo con CERT-FR, se trata de campañas altamente dirigidas que emplean vulnerabilidades de día cero y, en muchos casos, exploits zero-click que no requieren interacción de la víctima. Los operadores suelen focalizarse en periodistas, defensores de derechos humanos, abogados, figuras políticas, funcionarios y ejecutivos en sectores estratégicos. Recibir una notificación implica que al menos uno de tus dispositivos vinculados a iCloud ha sido seleccionado como objetivo y podría haber sido comprometido.
Contexto técnico: zero‑day, zero‑click y cadenas de explotación
Entre agosto y septiembre, Apple publicó parches fuera de ciclo para una vulnerabilidad de día cero CVE-2025-43300, que según especialistas se combinó con una falla zero-click en WhatsApp CVE-2025-55177 para ataques altamente sofisticados. Estas cadenas permiten la instalación silenciosa de componentes espía, dificultando el descubrimiento y la respuesta. Tácticas similares fueron documentadas en campañas con spyware mercenario como Pegasus, con investigaciones de Citizen Lab y Amnesty Tech y advertencias públicas de Apple sobre “spyware mercenario”.
Cómo comunica Apple y límites en la divulgación técnica
Las Threat Notifications de Apple llegan por SMS, correo y dentro del panel del Apple ID. Apple no publica indicadores técnicos (IoC) para no ayudar a los atacantes a evadir detecciones. Históricamente, la tasa de falsos positivos reportada en estas alertas ha sido baja, y las recomendaciones priorizan reducir el riesgo en objetivos de alto valor.
Qué hacer si recibes una alerta: respuesta inmediata y endurecimiento
Apple recomienda un restablecimiento de fábrica completo, actualizar iOS/iPadOS/macOS y las apps críticas (incluido WhatsApp) a su versión más reciente, y activar Lockdown Mode para reducir drásticamente la superficie de ataque en mensajería, navegador y servicios del sistema. Esta combinación corta posibles persistencias y bloquea vectores comunes de 0‑day/zero‑click.
Para apoyo especializado, la compañía sugiere contactar la Digital Security Helpline de Access Now (soporte 24/7 para sociedad civil). También es recomendable acudir a equipos CERT nacionales, ONG de ciberseguridad y profesionales con experiencia forense en dispositivos móviles para verificación independiente.
Medidas prácticas para organizaciones con mayor exposición
Las entidades con alto perfil de riesgo deben implementar una política centralizada de parches, dispositivos segregados para comunicaciones sensibles, lista mínima de aplicaciones, restricción de perfiles de configuración y MDM para respuesta rápida. Refuerzos clave incluyen controles de acceso con mínimo privilegio, ejercicios periódicos de respuesta a incidentes móviles y uso de canales cifrados con verificación de identidad y claves.
Velocidad y compartimentación: dos pilares para contener el daño
Los ataques zero‑click dejan pocos artefactos y su infraestructura cambia con rapidez tras la exposición pública. La velocidad de reacción (parcheo, rotación de claves y tokens, reissue de eSIM, revisión de apps) y el aislamiento de riesgos (separar dispositivos y cuentas personales/laborales) son críticos para minimizar el impacto.
La serie de notificaciones registrada por CERT-FR sugiere una actividad sostenida de operadores de spyware mercenario contra usuarios de alto riesgo. Si recibes una alerta, actúa sin demora: restablece y actualiza tus equipos, activa Lockdown Mode, busca asistencia especializada y revisa tu modelo de amenazas. Estas acciones oportunas reducen de forma significativa la probabilidad de compromiso y ayudan a mantener el control sobre comunicaciones y datos críticos.