Negocios TV Tecnología e Innovación
MÁS DE 20 MILLONES DE ESPECTADORES
Buscar
Secciones
Síguenos
Las últimas vulnerabilidades en WebKit ya se han explotado en ataques dirigidos y dejan a los iPhone anclados en iOS 18 en el punto ciego de la seguridad

Apple avisa: actualiza hoy a iOS 26.2 contra ataques activos

Dos fallos críticos en el motor WebKit, el que usa Safari y todos los navegadores en iPhone, han obligado a Apple a lanzar iOS 26.2 como actualización de urgencia. La propia compañía reconoce que las vulnerabilidades se han utilizado en “ataques extremadamente sofisticados” contra usuarios concretos antes de que existiera parche. Aunque los ataques detectados son dirigidos, el patrón es conocido: primero se dispara contra objetivos de alto valor y, cuando los detalles técnicos se hacen públicos, el fallo acaba bajando al mercado del cibercrimen masivo.

ChatGPT Image 24 ene 2026, 16_37_31
Apple avisa: actualiza hoy a iOS 26.2 contra ataques activos
Fabiana Ruiz
Fabiana Ruiz
24/01/26 | 16:38 | Tiempo de lectura: 11 min.
White House y China cierran pacto: control de TikTok en Estados Unidos a inversores pro-Trump
Sam Altman viajaría a India en febrero en el marco de una cumbre clave de IA
Ofcom investiga a Meta por posibles incumplimientos en WhatsApp Business

Qué está pasando: dos fallos críticos y ataques reales

Apple ha publicado iOS y iPadOS 26.2 como actualización de emergencia, junto a nuevos parches para macOS, watchOS y Safari. En las notas oficiales de seguridad detalla dos vulnerabilidades graves en WebKit que permiten ejecutar código arbitrario o corromper la memoria simplemente visitando una página web especialmente manipulada.

Lo relevante no es solo la gravedad técnica, sino el contexto: la propia Apple admite que estos fallos se han utilizado ya en ataques dirigidos contra objetivos específicos antes de que existiera corrección pública, lo que los sitúa en la categoría de zero-day explotados en la naturaleza.

Los organismos de ciberseguridad que han analizado los boletines sitúan la criticidad de estos fallos en puntuaciones próximas al máximo, con valores por encima de 8,5 sobre 10 en la escala CVSS. El diagnóstico es inequívoco: no hablamos de una actualización de mantenimiento, sino de una respuesta de urgencia a amenazas reales y activas.

Además, en el último año Apple se ha visto obligada a corregir en torno a una decena de zero-days explotados de forma activa, muchos vinculados al mismo componente: WebKit. Este hecho revela hasta qué punto el navegador se ha convertido en un vector prioritario para el espionaje digital y el despliegue de spyware avanzado.

A quién afecta esta alerta de seguridad de Apple

La actualización a iOS 26.2 está disponible para los iPhone de las últimas generaciones, desde los modelos más recientes hasta terminales con varios años de antigüedad. Sin embargo, el alcance de las vulnerabilidades es mayor: cualquier dispositivo que procese contenido web con WebKit —es decir, prácticamente todo el ecosistema Apple— se considera potencialmente expuesto.

Según la documentación de la compañía, los fallos impactan en versiones de iOS anteriores a la rama 26, así como en compilaciones previas de Safari en macOS. La consecuencia es clara: si tu iPhone no ha dado el salto a iOS 26.x, estás en el grupo de riesgo, incluso aunque el dispositivo siga funcionando con aparente normalidad.

El caso más delicado es el de los usuarios que siguen anclados en iOS 18. En los modelos más antiguos, esa versión puede haber quedado ya fuera del ciclo de parches completos, lo que significa que parte de las correcciones críticas no llegan o se aplican de forma parcial. El contraste con los iPhone más nuevos resulta demoledor: mientras unos reciben el paquete 26.2 con cierre total de los zero-days, otros quedan atrapados en una franja gris de seguridad.

También hay un grupo especialmente sensible: los móviles de empresa que dependen de políticas de gestión remota. Si tu iPhone está bajo un sistema MDM corporativo, es posible que las actualizaciones mayores se hayan bloqueado por defecto. En ese escenario, no actualizar deja de ser una decisión neutra y se convierte en un riesgo operativo que debe evaluarse al máximo nivel.

Qué hacer ahora mismo: tres pasos clave

Si solo quieres la guía rápida, este es el mínimo imprescindible que deberías hacer hoy:

  1. Comprueba qué versión de iOS tienes ahora mismo. Saber si estás en iOS 26.2, en una versión intermedia o todavía en iOS 18 determina tu nivel de exposición real.
  2. Actualiza a iOS 26.2 en cuanto tu dispositivo lo permita. Haz copia de seguridad, usa una red WiFi fiable y completa la instalación sin posponerla “para el fin de semana”.
  3. Si sigues en iOS 18 o no puedes actualizar, cambia de hábitos desde hoy. Reduce el uso del dispositivo para operaciones sensibles, refuerza las medidas de seguridad y planifica una alternativa.

En las secciones siguientes se detalla cómo aplicar cada paso y qué matices debes tener en cuenta según tu caso concreto.

Paso 1: comprueba qué versión de iOS tienes

El primer movimiento es de diagnóstico, pero es decisivo. Para saber en qué punto estás:

  • Abre la app Ajustes en tu iPhone.
  • Entra en General.
  • Toca en Información o en Actualización de software, según tu versión.
  • Fíjate en el campo Versión de iOS.

A partir de ahí, se abren tres escenarios muy diferentes:

  • Ya estás en iOS 26.2. Tienes los parches críticos instalados. Aun así, activa las actualizaciones automáticas y asegúrate de reiniciar el dispositivo si lleva muchos días sin apagarse; algunos cambios solo se aplican por completo tras un reinicio.
  • Estás en iOS 26.0, 26.1 o en 25.x. Tu dispositivo es compatible pero no ha terminado el salto a la última versión. Conviene forzar la búsqueda de actualizaciones desde Ajustes > General > Actualización de software y planificar el paso a 26.2 en cuestión de horas, no de semanas.
  • Sigues en iOS 18.x y no aparece 26.2 como disponible. Es la situación más delicada. Puede indicar que tu iPhone ha quedado fuera del ciclo principal de soporte o que tu empresa ha congelado las versiones. En ambos casos debes asumir que tu superficie de ataque es mayor y tomar medidas compensatorias.

Paso 2: actualiza a iOS 26.2 con seguridad

Actualizar deprisa no significa actualizar de cualquier manera. Para minimizar problemas durante el proceso:

  1. Haz una copia de seguridad reciente. Puedes usar iCloud o un ordenador con macOS/Windows. Asegúrate de tener al menos 5-10 GB libres para que la copia y la descarga de la actualización no se queden sin espacio a mitad de camino.
  2. Carga la batería y usa una red fiable. Lo recomendable es tener el iPhone por encima del 50 % de batería o conectado al cargador, y realizar la descarga desde una WiFi de confianza. Evita redes públicas de hoteles, aeropuertos o cafeterías mientras instalas parches de seguridad.
  3. Lanza la actualización desde Ajustes. Ve a Ajustes > General > Actualización de software y toca en Descargar e instalar junto a iOS 26.2. El paquete puede ocupar varios gigabytes, por lo que el proceso puede durar desde unos minutos hasta más de media hora según tu conexión.
  4. Verifica que el parche se ha aplicado. Tras el reinicio, vuelve a la sección de información del dispositivo y comprueba que aparece iOS 26.2. Si se ofrece una “actualización de seguridad rápida” adicional, instálala también: suele cerrar flecos de los zero-days más graves.

En entornos corporativos, lo prudente es coordinar la actualización con el equipo de TI para validar compatibilidades con aplicaciones internas. Sin embargo, con vulnerabilidades activas en WebKit, seguir bloqueando indefinidamente el salto de versión deja de ser una cautela razonable para convertirse en un problema de gestión del riesgo.

Paso 3: si sigues en iOS 18, medidas mínimas urgentes

No todos los usuarios pueden actualizar a iOS 26.2: hay modelos antiguos que se quedan en iOS 18, dispositivos con muy poco almacenamiento disponible o móviles sujetos a políticas corporativas rígidas. Si estás en ese grupo, este es el suelo mínimo de protección que deberías aplicar:

  • Separa usos personales y sensibles. Evita usar ese iPhone para banca online, acceso a documentación confidencial o gestiones con la Administración. Para esas tareas, utiliza un dispositivo actualizado.
  • Reduce la exposición web. Limita el uso de Safari y de apps que abren navegadores internos. Desconfía especialmente de enlaces recibidos por SMS, mensajería o correo, aunque parezcan legítimos.
  • Actualiza todas las aplicaciones. Muchas apps integran vistas web que también se apoyan en WebKit. Mantenerlas al día reduce la posibilidad de que un atacante combine varias vulnerabilidades.
  • Refuerza la privacidad y los permisos. Revisa qué apps tienen acceso a cámara, micrófono, localización y contactos, desinstala las que no uses y desactiva perfiles de configuración que no reconozcas.
  • Valora un plan de sustitución. Cuando un móvil se queda fuera del ciclo de parches completos y, al mismo tiempo, se encadenan zero-days explotados en la naturaleza, seguir usándolo como dispositivo principal supone un riesgo difícil de justificar, sobre todo si tiene más de 6-7 años de antigüedad.

Por qué WebKit se ha convertido en el eslabón débil

WebKit es el motor de renderizado que utiliza Safari y, por decisión de Apple, todos los navegadores en iOS y iPadOS. Eso significa que un fallo en este componente no afecta a una única app, sino a prácticamente cualquier contenido web que ves en el iPhone.

En esta oleada de parches, las vulnerabilidades descritas permiten, en la práctica, que un atacante ejecute código con los privilegios del navegador o fuerce una corrupción de memoria al procesar contenido web. Traducido: basta con que la víctima visite una página maliciosa para que su dispositivo quede potencialmente comprometido.

Lo más grave es el patrón que se repite: primero se detecta el uso de estas vulnerabilidades en campañas muy concretas —periodistas, activistas, directivos, funcionarios— y, tras la publicación de los parches, otros actores reutilizan las mismas técnicas. El resultado es una carrera constante entre los desarrolladores que corrigen y los atacantes que intentan exprimir la ventana de tiempo previa a la actualización.

Este contexto explica por qué las actualizaciones centradas en el navegador, aunque no traigan funciones visibles, son críticas. Retrasarlas semanas por simple comodidad deja al usuario justo en medio de esa ventana de explotación.

La próxima ola de ataques y las lecciones para usuarios y empresas

En paralelo al refuerzo de parches, Apple ha elevado el listón de su programa de recompensas, ofreciendo hasta 2 millones de dólares por las cadenas de explotación más peligrosas y bonificaciones que pueden acercarse a los 5 millones en ciertos escenarios. Si la compañía está dispuesta a pagar esas cifras, es porque sabe que el mismo tipo de fallos se cotiza de forma similar —o superior— en mercados opacos.

Con más de 2.000 millones de dispositivos activos en su ecosistema, cada zero-day se convierte en un activo estratégico para estados, grupos de espionaje y ciberdelincuentes. El contraste con la percepción del usuario medio, que sigue viendo las actualizaciones como un estorbo que “ya instalará cuando tenga tiempo”, resulta cada vez más llamativo.

Para las empresas, la lección es doble. Por un lado, los móviles corporativos deben incorporarse al mismo ciclo estricto de parches que servidores y portátiles. Por otro, las políticas que bloquean cambios de versión durante meses, sin un análisis específico de riesgos, se han vuelto insostenibles en un escenario de ataques activos contra WebKit.

Para los particulares, el mensaje también es claro: no hay neutralidad en no actualizar. En un entorno en el que basta un enlace para comprometer un teléfono, quedarse en iOS 18 por comodidad o por miedo a un cambio de interfaz implica aceptar un nivel de exposición que ya no es razonable.

iOS 26.2 no es una actualización más, sino el cortafuegos entre tu iPhone y una familia de ataques que ya han demostrado ser reales. Lo mínimo que deberías hacer hoy es saber en qué lado de ese cortafuegos estás.

Etiquetas:
APPLE ataques iOS
Más en Tecnología e Innovación
Comentarios