Las últimas semanas han puesto otra vez bajo los focos a WebKit y las fallas de día cero que afectan a los dispositivos de Apple. Dos vulnerabilidades críticas en el motor de renderizado, ya explotadas en la práctica, han obligado a la compañía a publicar una oleada de parches de emergencia para prácticamente todo su ecosistema.
Estas fallas, identificadas como CVE-2025-43529 y CVE-2025-14174, se han utilizado en ataques extremadamente dirigidos contra un número reducido de objetivos, en su mayoría usuarios con un perfil sensible. La manera en la que se explotan —basta con cargar una página maliciosa— vuelve a dejar claro que el navegador sigue siendo una de las puertas de entrada preferidas para el ciberespionaje moderno.
Qué ha pasado con las fallas de día cero de WebKit
El 12 de diciembre Apple lanzó actualizaciones de seguridad fuera de ciclo para iOS, iPadOS, macOS, tvOS, watchOS, visionOS y Safari, después de confirmar que dos fallas de día cero en WebKit estaban siendo aprovechadas «en la naturaleza». No se trataba de simples errores teóricos, sino de vulnerabilidades ya integradas en cadenas de explotación reales.
La primera, CVE-2025-43529, es un fallo de tipo use-after-free en WebKit. Un uso indebido de memoria liberada puede permitir a un atacante ejecutar código arbitrario en el dispositivo comprometido con sólo hacer que la víctima visite una página web preparada para aprovechar el bug.
La segunda, CVE-2025-14174, está catalogada con una puntuación CVSS de 8,8 y está asociada a corrupción de memoria durante el procesamiento de contenido web especialmente diseñado. El impacto práctico es similar: abrir la puerta a la ejecución de código malicioso y a la toma de control del dispositivo, con apenas interacción del usuario.
Apple reconoce que estas fallas se han explotado en ataques «altamente sofisticados» contra objetivos muy concretos que utilizaban versiones de iOS anteriores a iOS 26. Aunque no se ha hecho público quién está detrás, el nivel técnico y la selección de víctimas apuntan a escenarios de vigilancia avanzada y posible software espía mercenario.
Ambas vulnerabilidades pueden activarse simplemente al renderizar contenido web, sin necesidad de instalar aplicaciones de terceros ni de que el usuario haga nada más que abrir un enlace, lo que amplía de forma notable la superficie de ataque.
Colaboración entre Apple y Google en la detección del día cero
Un elemento llamativo de este episodio es la coordinación entre Apple Security Engineering and Architecture y Google Threat Analysis Group (TAG). Los dos equipos aparecen como descubridores de las vulnerabilidades, reflejando un trabajo conjunto poco habitual pero cada vez más necesario frente a campañas de alto nivel.
Google ya había parcheado el 10 de diciembre la misma vulnerabilidad CVE-2025-14174 en Chrome, donde se manifestaba como un problema de acceso a memoria fuera de límites en ANGLE, la biblioteca gráfica de código abierto que traduce llamadas de gráficos para distintos backends, incluido Metal. El hecho de que ANGLE se utilice de forma transversal sugiere una explotación multinavegador y multiplataforma, no un fallo aislado de un único producto.
Cuando Apple publica su propio parche apenas dos días después, queda claro que la misma debilidad subyacente afectaba tanto a Chrome como a WebKit. Esto implica que los atacantes disponían de un exploit capaz de cruzar fronteras entre ecosistemas, algo especialmente preocupante cuando los objetivos son usuarios de alto perfil.
Desde la óptica de Europa y España, donde el uso combinado de servicios de Google y dispositivos Apple es muy habitual, este tipo de exploits compartidos entre motores incrementa el riesgo para periodistas, activistas, directivos o funcionarios que alternan entre plataformas en su día a día.
El papel de Google TAG, un equipo especializado en rastrear a actores de amenazas avanzadas y potencialmente patrocinados por estados, refuerza la hipótesis de que no se trata de delincuencia oportunista sino de operaciones de vigilancia muy específicas.
Qué dispositivos de Apple están afectados y qué versiones corrigen el problema
Las dos fallas de día cero golpean directamente a WebKit, el motor de navegador en el corazón de Safari y de muchas aplicaciones que muestran contenido web en los sistemas de Apple. Dado que en iOS y iPadOS todos los navegadores —incluidos Chrome, Edge o Firefox— están obligados a usar WebKit, cualquier vulnerabilidad en este componente afecta a toda la navegación en estas plataformas.
Apple ha publicado correcciones para una lista muy amplia de dispositivos, que va desde móviles relativamente recientes hasta ordenadores de escritorio y nuevos productos como Vision Pro. Entre el hardware afectado se encuentran, entre otros:
- iPhone 11 y modelos posteriores, incluidos los iPhone más actuales disponibles en el mercado europeo y español.
- iPad Pro de 12,9 pulgadas (tercera generación y posteriores) y de 11 pulgadas (primera generación y posteriores).
- iPad Air de tercera generación en adelante, iPad de octava generación y posteriores y iPad mini de quinta generación en adelante.
- Los equipos con macOS Tahoe, así como los dispositivos con tvOS, watchOS y visionOS compatibles.
Para cerrar estas brechas, la compañía ha desplegado actualizaciones como iOS 26.2 e iPadOS 26.2 para los modelos más recientes, y versiones de soporte extendido como iOS 18.7.3 e iPadOS 18.7.3 para dispositivos más antiguos todavía muy presentes en hogares y empresas de España y del resto de Europa.
En ordenador, la corrección llega mediante macOS Tahoe 26.2, acompañado de Safari 26.2 para sistemas con macOS Sonoma o Sequoia. El parche se completa con tvOS 26.2 (Apple TV HD y todos los Apple TV 4K), watchOS 26.2 (Apple Watch Series 6 y posteriores) y visionOS 26.2 para Apple Vision Pro.
En todos los casos, los exploits confirmados se han observado en versiones anteriores a iOS 26, pero Apple recomienda a cualquier usuario —aunque no sea objetivo directo— instalar las actualizaciones cuanto antes para evitar futuras campañas que reutilicen o evolucionen estos vectores de ataque.
Cómo funcionan los exploits web y por qué WebKit es un objetivo tan atractivo
WebKit es un proyecto de código abierto que sirve como motor de renderizado de Safari en macOS, iOS y iPadOS, y además se integra en muchas aplicaciones para mostrar vistas web internas. Por diseño de Apple, en iPhone y iPad todos los navegadores de terceros se apoyan en WebKit, lo que convierte a este componente en un punto único de fallo con un alcance inmenso.
Fallas como CVE-2025-43529, de tipo use-after-free, y CVE-2025-14174, ligada a corrupción de memoria, se desencadenan al procesar contenido web malicioso: imágenes, scripts, elementos gráficos WebGL o estructuras HTML cuidadosamente diseñadas. El atacante prepara una página que fuerza al motor a manejar la memoria de forma incorrecta, y a partir de ahí construye una cadena de explotación para ejecutar código con los privilegios del proceso comprometido.
En muchos casos, el primer paso es escapar del sandbox del navegador, es decir, romper las barreras que impiden que el código malicioso acceda al resto del sistema. Cuando esta barrera cae, el atacante puede encadenar otros exploits —por ejemplo, en el kernel o en servicios del sistema— para escalar privilegios y hacerse con el control casi total del dispositivo.
La implicación de ANGLE y WebGL en CVE-2025-14174 añade otra capa de complejidad. ANGLE actúa como intermediario entre el navegador y las APIs gráficas subyacentes (Metal en el caso de Apple), y cualquier problema en esta pieza puede afectar a cómo se procesan gráficos en múltiples plataformas. Para los atacantes, esto abre la posibilidad de una explotación más amplia, que abarque tanto Safari como Chrome en distintos sistemas.
En la práctica, el usuario sólo tiene que visitar una web comprometida, pulsar en un enlace en un correo o mensaje, o cargar contenido incrustado en una app para que el exploit entre en acción. De ahí que estos ataques resulten tan silenciosos y peligrosos, especialmente para personas que manejan información sensible en su móvil o portátil.
Un año cargado de días cero para Apple
Las correcciones para CVE-2025-43529 y CVE-2025-14174 se suman a una lista cada vez mayor de vulnerabilidades de día cero explotadas en 2025 contra plataformas de Apple. Con estos dos fallos, la compañía reconoce haber abordado ya nueve días cero usados en ataques reales a lo largo del año.
Entre las vulnerabilidades anteriores se incluyen referencias como CVE-2025-24085, CVE-2025-24200 y CVE-2025-24201, junto con otras como CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 y CVE-2025-43300. Muchas de ellas afectaban a componentes de alto valor estratégico, como el kernel del sistema o ImageIO, que manejan operaciones de bajo nivel y acceso privilegiado a recursos.
Esta sucesión de parches deja patente que los actores de amenazas más avanzados están invirtiendo de forma intensa en encontrar y encadenar fallas en motores de navegación y pipelines de renderizado. El objetivo es eludir las protecciones de sandbox, infiltrarse en el dispositivo sin levantar sospechas y mantener persistencia el tiempo suficiente para extraer datos o realizar vigilancia.
No es un fenómeno aislado de otros mercados: en entornos empresariales europeos, especialmente en administraciones públicas y grandes compañías, se han incorporado políticas de actualización rápida y gestión centralizada de parches precisamente para tratar de cerrar esa «ventana de oportunidad» que existe entre la explotación inicial de una vulnerabilidad y su corrección en todos los equipos.
La incorporación de algunas de estas fallas al catálogo de vulnerabilidades explotadas conocidas de la agencia de ciberseguridad estadounidense (CISA) sirve de aviso global: los organismos reguladores y los CERT nacionales en Europa suelen seguir de cerca estas listas para priorizar avisos y recomendaciones a empresas y ciudadanos.
Otras correcciones de seguridad que llegan en el mismo paquete
Las actualizaciones que mitigan las fallas de día cero de WebKit no se limitan a estos dos CVE. Apple incluye en el mismo lote parches para más de una veintena de vulnerabilidades adicionales en distintos componentes del sistema, desde el núcleo del sistema operativo hasta servicios de comunicaciones.
En el lado del kernel, se han solucionado problemas como CVE-2025-46285, un desbordamiento de enteros que podría permitir escalar privilegios hasta nivel root en ciertas condiciones. También se han reforzado módulos de red y bibliotecas como curl, reduciendo el riesgo de ataques que abusen de conexiones o transferencias de datos.
Otras correcciones afectan a servicios de uso diario como FaceTime, Mensajes o App Store. En algunos casos, los fallos permitían un acceso inadecuado a información sensible del usuario, como contactos, historiales de comunicación o datos de navegación, con el consiguiente impacto en la privacidad.
El conjunto de cambios pone de relieve que, aunque la atención pública se centre en las fallas de día cero de WebKit, la superficie de ataque real es mucho más amplia. Para un atacante con recursos, combinar un exploit en el navegador con una escalada de privilegios en el kernel o un fallo en un servicio del sistema puede ser la vía más eficaz para una intrusión completa.
En el contexto europeo, donde regulaciones como el Reglamento General de Protección de Datos (RGPD) imponen obligaciones estrictas sobre la seguridad de la información, ignorar este tipo de actualizaciones puede derivar no sólo en incidentes técnicos, sino también en consecuencias legales y reputacionales para empresas y organismos públicos.
Recomendaciones prácticas para usuarios y organizaciones
Los especialistas en ciberseguridad coinciden en que, ante fallas de día cero activamente explotadas, la medida más efectiva es aplicar los parches cuanto antes. En dispositivos como iPhone o iPad, el proceso es sencillo: basta con ir a Ajustes > General > Actualización de software y comprobar si ya está disponible la nueva versión.
En el caso de los Mac, la ruta pasa por Preferencias del Sistema (o Configuración del Sistema) > Actualización de software. Muchos equipos en España y el resto de Europa tienen activadas las actualizaciones automáticas, pero aun así conviene verificar manualmente que la instalación se ha completado y que el sistema ya ejecuta las versiones mencionadas por Apple.
Para organizaciones con flotas grandes —desde pymes hasta administraciones públicas—, los expertos recomiendan apoyarse en soluciones MDM (gestión de dispositivos móviles) para forzar la instalación de parches, evitar retrasos por parte de los usuarios y tratar todo aplazamiento como una exposición real. En escenarios de alto riesgo, cualquier día extra sin actualizar puede traducirse en una oportunidad para los atacantes.
Como medidas complementarias, sigue siendo clave mantener copias de seguridad periódicas, revisar los permisos de las aplicaciones, limitar el uso de navegadores desactualizados y extremar la precaución con enlaces sospechosos o adjuntos de correo. Aunque en este caso el vector principal son páginas web maliciosas, la distribución de enlaces a través de correo, mensajería o redes sociales sigue siendo el punto de partida habitual.
Las propias autoridades de ciberseguridad y los CERT nacionales en Europa suelen emitir avisos cuando una vulnerabilidad pasa a formar parte de los catálogos de fallos explotados activamente, lo que sirve como recordatorio adicional para que empresas y usuarios finales no dejen las actualizaciones para más adelante.
El episodio de las últimas fallas de día cero de WebKit refuerza una idea que ya se venía viendo en los últimos años: los ataques más peligrosos rara vez empiezan con un archivo adjunto evidente o una app sospechosa, sino con una visita aparentemente inocente a una página web. En un contexto en el que Apple y Google tienen que coordinarse para cerrar el mismo bug al mismo tiempo, y en el que se acumulan ya varios días cero en un solo año, mantener iPhone, iPad, Mac y el resto de dispositivos siempre al día ha pasado de ser una recomendación genérica a una necesidad básica de seguridad digital, tanto para usuarios particulares como para empresas en España y en toda Europa.
