Apple ha publicado actualizaciones de seguridad de emergencia para prácticamente toda su línea de sistemas operativos con el objetivo de corregir dos vulnerabilidades 0-day en WebKit. Según la compañía, ambas fallas estaban siendo aprovechadas en una campaña de ataque altamente sofisticada contra un grupo limitado de usuarios, lo que convierte estas actualizaciones en una prioridad para cualquier persona que utilice dispositivos Apple conectados a Internet.
Detalles técnicos de las vulnerabilidades WebKit CVE-2025-43529 y CVE-2025-14174
La primera vulnerabilidad, CVE-2025-43529, es un fallo de tipo use-after-free en el motor WebKit. Este tipo de error se produce cuando una aplicación sigue utilizando una región de memoria después de haberla liberado. Al procesar contenido web especialmente manipulado, un atacante puede forzar condiciones de memoria inconsistentes y derivar en el ejecución remota de código en el dispositivo víctima. La puntuación CVSS aún no se ha hecho pública, pero el impacto es claramente crítico por la posibilidad de comprometer el navegador y, desde ahí, el sistema.
La segunda vulnerabilidad, CVE-2025-14174, también reside en WebKit y se describe como un problema de corrupción de memoria. Este tipo de fallos suele permitir romper mecanismos de aislamiento de procesos (sandboxing) y facilitar la ejecución de código con los privilegios del navegador o de procesos del sistema relacionados. Para CVE-2025-14174 se ha publicado ya una puntuación base de 8,8 en la escala CVSS, clasificada como de severidad «Alta». El hallazgo de ambas vulnerabilidades se atribuye a la colaboración entre Apple y el equipo Google Threat Analysis Group (TAG), especializado en la detección de ataques 0-day en campañas dirigidas.
Dispositivos Apple afectados y versiones que corrigen las 0-day de WebKit
Debido a la arquitectura de la plataforma, todas las aplicaciones que renderizan contenido web en iOS y iPadOS deben utilizar WebKit. Por tanto, el impacto no se limita a Safari: afecta a todos los navegadores en iPhone y iPad, además de numerosas aplicaciones que integran vistas web. El alcance se extiende a usuarios de iPhone, iPad, Mac, Apple Watch, Apple TV y Apple Vision Pro.
De acuerdo con el boletín de seguridad de Apple, las vulnerabilidades se corrigen en las siguientes versiones:
iOS 26.2 e iPadOS 26.2, así como iOS 18.7.3 e iPadOS 18.7.3 para dispositivos que permanecen en ramas anteriores; macOS Tahoe 26.2; tvOS 26.2; watchOS 26.2; visionOS 26.2; y Safari 26.2 para sistemas de escritorio. La compañía confirma que la explotación de estas 0-day ya se ha observado “en la naturaleza”, por lo que es esencial instalar los parches sin demora.
Coordinación Apple–Google: conexión con la 0-day de Chrome y ANGLE
Un aspecto relevante de este incidente es el uso compartido del identificador CVE-2025-14174 por parte de Apple y Google. Días antes, Google había distribuido un parche para una 0-day previamente no revelada en Chrome, más tarde descrita como un acceso a memoria fuera de límites en ANGLE, el componente que traduce APIs gráficas para el navegador.
El hecho de que ambas compañías referencien el mismo CVE sugiere una coordinación estrecha en la publicación de los parches y en el momento de divulgación. Este enfoque conjunto se ha convertido en una práctica habitual de la industria: cuando se detecta explotación activa de una vulnerabilidad 0-day multiplataforma, los proveedores implicados intentan sincronizar sus actualizaciones para reducir el tiempo de exposición y dificultar la reutilización de los exploits por parte de los atacantes.
Por qué WebKit e iOS siguen siendo objetivos prioritarios en campañas de espionaje
WebKit es el motor de renderizado sobre el que se construye Safari, los widgets web integrados y todos los navegadores en iOS. Esta obligatoriedad hace que una sola vulnerabilidad exitosa en WebKit tenga un impacto potencial en cientos de millones de dispositivos. Para actores que desarrollan o compran exploits 0-day, se trata de un vector muy atractivo, especialmente en campañas de vigilancia y espionaje.
Apple ha indicado que estas 0-day se utilizaron en una “ataque extremadamente sofisticado y dirigido” contra usuarios concretos que ejecutaban versiones de iOS hasta la 26. El patrón encaja con lo descrito en informes públicos sobre spyware comercial y cadenas de explotación vendidas a estados: compromiso inicial a través del navegador, ejecución de código, escalada de privilegios y persistencia en el sistema. Equipos como Google Project Zero y Microsoft Threat Intelligence han documentado que, en las plataformas más populares, el número de 0-day detectadas en uso real se contabiliza por decenas cada año, lo que ilustra la presión constante sobre motores como WebKit.
Nueve 0-day de Apple en 2025: tendencia y recomendaciones de ciberseguridad
Con estas dos vulnerabilidades, Apple suma ya nueve 0-day corregidas en 2025 que, según la compañía, estaban siendo explotadas activamente: CVE-2025-24085 (enero), CVE-2025-24200 (febrero), CVE-2025-24201 (marzo), CVE-2025-31200 y CVE-2025-31201 (abril), CVE-2025-43200 (junio) y CVE-2025-43300 (agosto), además de CVE-2025-43529 y CVE-2025-14174. Un mayor número de 0-day públicamente reconocidas no implica necesariamente que la plataforma sea menos segura; a menudo refleja una mejor capacidad de detección, respuesta coordinada con investigadores y mayor transparencia.
Para usuarios particulares, la medida más eficaz es actualizar de inmediato a las últimas versiones de iOS, iPadOS, macOS, watchOS, tvOS, visionOS y Safari, habilitar las actualizaciones automáticas y revisar periódicamente si hay nuevos parches de seguridad. Las organizaciones deberían reforzar este enfoque mediante soluciones MDM para verificar el estado de los dispositivos, limitar el acceso a datos sensibles desde equipos sin parchear y monitorizar actividad anómala asociada al navegador. Cuanto más rápido adopte la comunidad las correcciones para vulnerabilidades 0-day en WebKit, más difícil será para los atacantes mantener cadenas de explotación estables y más robusta será la ciberresiliencia del ecosistema Apple.
