- Apple ha ressecat dos zero-day activament explotats en atacs altament dirigits contra usuaris concrets.
- Ambas falles resideixen en WebKit, permetent des de la corrupció de la memòria fins a la possible execució del codi remot mitjançant pàgines web malicioses.
- Les actualitzacions de seguretat a iOS, iPadOS, macOS, watchOS, tvOS, visionOS i Safari, amb especial atenció a iOS 26.2 i branques anteriors encara soportades.
- Actualització immediata, extremar la cautela amb els enllaços i aprofitar les funcions com a mode de bloqueig son passos clau per reduir el risc.
Apple ha publicat una sèrie de actualitzacions de seguretat d'emergència per bloquejar les vulnerabilitats del dia, que ja estaven utilitzades en atacs reals contra un nombre molt reduït de persones. Encara que la companyia no ha revelat quién està darrere de la campanya no ha estat mai dirigida, el tipus d'atac encaixa més amb operacions de programari espía altament dirigit que amb delinqüència informàtica massiva.
Les dues falles es troben en WebKit, el motor de navegació que impulsa Safari i, a causa de les restriccions d'iOS, també funciona com a base per a qualsevol altre navegador en iPhone i iPad. En escenaris concrets, bastant amb visitar un lloc web especialment manipulat per al dispositiu que processa contingut malicioso i es dispare la cadena d'explotació, sense que la víctima tingui que fer res més.
Aquest nou incident se suma a altres problemes de seguretat que han marcat l'any, i refuerza la idea de que los ataques dirigidos mediante vulnerabilidades de día cero s'han convertit en una eina habitual tant per a actors estatals com a proveïdors comercials de spyware. Per a la majoria dels usuaris, el risc immediat pot semblar baix, però el nivell de sofisticació il·lustració com pot evolucionar el panorama de les amenaces.
Antes d'entrar en els detalls tècnics i les mesures de mitigació, conviene entendre què ha dit Apple sobre aquests errors, per què són tan delicats i quins dispositius es ven potencialment afectats, inclòs si no es consideren objectius «de alt perfil».
Què ha reconegut Apple sobre aquestes dues vulnerabilitats de dia cero
Les vulnerabilitats estan catalogades com a CVE-2025-43529 y CVE-2025-14174, i Apple ha confirmat que ambas s'exploten dins del mateix escenari d'atac al món real. L'ús de dues falles encadenades és típic de campanyes avançades, on els atacants combinen errors per escalar privilegis i consolidar el control sobre el dispositiu compromès.
Segons la documentació de seguretat de la companyia, les explotacions es dirigeixen contra versions d'iOS anteriors a iOS 26, i l'activitat es va limitar a «individus específicament seleccionats». Aquest llenguatge no es fa servir per a qualsevol problema: normalment apunta a operacions cuidadosament dissenyades, dirigides a un conjunt molt restringit d'objectius amb un valor d'intel·ligència elevada.
CVE-2025-43529 es descriu com una vulnerabilitat de "use-after-free" en WebKit. En la pràctica, això significa que, manipulant cert contingut web, un atacant pot forçar el navegador a reutilitzar la memòria que no hauríeu d'estar a l'ús. Esa confusió sobre què hi ha realment emmagatzemat en aquesta zona de memòria obre la porta a executar codi arbitrari en el dispositiu, tot ell escondido darrere d'una pàgina web aparentment legítima.
Apple ha acreditat el hallazgo d'aquesta falla al Grup d'anàlisi d'amenaces de Google, l'equip de Google especialitzat en rastrejar grups d'amenaces sofisticades, inclosos proveïdors comercials de spyware i actors vinculats a estats. Històricament, quan aquest equip està implicat en el descobriment, sol tractar-se de campanyes amb objectius com a periodistes, defensors dels drets humans o de les figures polítiques.
La segona vulnerabilitat, CVE-2025-14174, també es troba en WebKit i es classifica com un problema de corrupció de memòria. Encara que a la documentació Apple parla de «memory corruption» i no sempre l'etiqueta directament com a execució del codi, aquest tipus d'errors es pot combinar amb altres per aconseguir un compromís total del dispositiu, des de la lectura de dades confidencials fins a la instal·lació silenciosa de spyware.
En aquest cas, l'empresa senyala que l'error ha estat descobert de forma conjunta per Apple i el propi Grup d'Anàlisi d'Amenaces de Google. Esa col·laboració refuerza la impressió de l'activitat es va investigar a partir d'atacs ja en curs, i no d'una simple revisió interna del codi.
Amb les vulnerabilitats, Apple indica expressament que estava al mateix temps explotació activa «a la natura». Aquesta formulació no s'utilitza per a vulnerabilitats teòriques o merament potencials, sinó quan s'han observat abusos clars de les falles davant de víctimes reals.
La solució tècnica, segons Apple, ha consistit principalment en un refuerzo de la gestió de memòria i controls de validació dins de WebKit. No obstant això, la companyia evita entrar en massa detalls tècnics; oferir informació massa precisa podria facilitar que altres actors maliciosos reprodueixin l'explotació o desenvoluparan variants.
Alcance de l'exposició i dispositius afectats
Apple ha alliberat parches per a la totalitat pràctica dels seus sistemes operatius en suport actiu, incloent les últimes versions d'iOS, iPadOS, macOS, Safari, watchOS, tvOS i visionOS. L'objectiu és assegurar-se que tant els equips d'escriptori com els dispositius mòbils i els wearables queden protegits davant del mateix problema subyacente en WebKit.
De acuerdo con el aviso de seguridad, están en el punto de mira una amplia gama de dispositivos: desde el iPhone 11 i models posteriors, passant per diverses generacions d'iPad Pro, iPad Air a partir de la tercera generació, iPad d'octava generació i versions recents de l'iPad mini a partir de la quinta generació. En altres paraules, cobreix la enorme majoria de telèfons i tauletes Apple que segueix utilitzant la forma habitual.
Les correccions s'han incorporat a un abanic de versions específiques: iOS 26.2 i iPadOS 26.2 per a quiens ja estan a la rama més recent, però també iOS 18.7.3 i iPadOS 18.7.3 per a dispositius que romandran en generacions anteriors encara soportades. En equips d'escriptori, el parc arriba com a part de macOS Tahoe 26.2, mentre que a l'ecosistema d'entreteniment i wearables es despliega com a tvOS 26.2, watchOS 26.2 i visionOS 26.2, a més d'una actualització de Safari a la versió 26.2.
Un punt que a menudo passa desapercibido és que, en iOS i iPadOS, tots els navegadors han d'utilitzar WebKit internament, inclòs si per fora es crida Chrome, Firefox u Opera. Això implica que el fallo no es limita a Safari, sinó que qualsevol navegador basat en iOS comparteix la mateixa superfície d'atac en el que respecta al motor de renderitzat.
En el context més ampli de 2025, amb aquestes correccions Apple ja ha assecat siete vulnerabilidades de dia cero que han estat explotades de forma confirmada durant l'any. Entre elles es troben errors revelats anteriorment i una actualització llançada al setembre per a equips més antics, el que dóna una idea del volum de recursos que els atacants estan invirteixen en aquest tipus d'explotacions.
Com reduir el risc davant els atacs dirigits mitjançant zero-days
Encara que la campanya descrita apunta sobre tot a les víctimes molt concretes, les mateixes debilitats tècniques afecten qualsevol cosa que no hagi actualitzat encara. Hi ha una sèrie de mesures pràctiques que poden marcar una diferència real en la probabilitat de vers afectat per aquest tipus d'atacs, inclòs si no està en el radar d'un actor d'alt nivell.
1) Instal·leu les actualitzacions tan aviat com apareixen
Pot sonar repetitiu, però en el món dels dies zero no hi ha consell més efectiu per mantenir el programari al dia. Aquest tipus d'operació depèn, en gran mesura, de persones que segueixen utilitzant versions antigues i no han aplicat els parches crítics.
Quan Apple llança una actualització de seguretat urgent, és recomanable instal·lar-lo quant estigui disponible. En moltes campanyes, els atacants se centren precisament a la finestra de temps entre la publicació del parche i la seva adopció massiva, explotant a quiens retrasan la instal·lació per comoditat o per simple olvido.
Per quiens no vulguin estar pendents de cada avis, dejar que el sistema de gestió les actualitzacions de forma automàtica és una alternativa sensata. Activar les actualitzacions automàtiques en iOS, iPadOS, macOS i Safari redueixen dràsticament el marge d'exposició, inclòs si l'usuari no arriba a llegir sobre la vulnerabilitat a les notícies o està de viatge quan es lliure el parc.
2) Desconfiar d'enllaços inesperats, inclòs de contactes coneguts
La majoria d'atacs contra WebKit es recolzen en contingut web especialment preparat. En molts casos, el primer pas de la cadena d'atac és un enllaç enviat per SMS, correu electrònic o aplicacions de missatgeria, dissenyat per a que la víctima faci clic sense pensar massa.
Conviene ser especialment cautelós amb enllaços que arriben de forma inesperada, encara que parezcan proceder d'algú conegut. Si alguna cosa genera dudas, una opció más prudente es escriure manualment la direcció al navegador o buscar el lloc per nom, al lloc de pulsar directament sobre l'URL que ha arribat al missatge.
Com capa addicional, tenir instal·lat un programari de seguretat o antivirus en els diferents dispositius pot ajudar a bloquejar pàgines malicioses, alertar sobre intents de pesca i reduir el risc de fer clic casualment per instal·lar programari maliciós o exposar informació personal.
3) Ajustar la forma de navegar per limitar la superfície d'atac
Per a persones que manegen dades sensibles —com periodistes, activistes o professionals amb accés a informació confidencial—, té sentit replantejar la forma en què s'utilitza la web des del seu iPhone, iPad o Mac, amb l'objectiu de reduir punts d'entrada explotables.
Una recomanació habitual és concentrar la navegació en un únic navegador ben configurat, per exemple Safari, i evitar carregar l'entorn amb extensions no essencials que puguin introduir més vulnerabilitats o comportaments inesperats. Quants menys peces i menys codi addicional s'executen en cada pàgina, més fàcil és mantenir el control sobre la superfície d'atac.
També es pot moderar la quantitat d'enllaços que s'obre directament des d'aplicacions de missatgeria o xarxes socials. Al lloc de tocar qualsevol URL dins d'un xat, podeu optar per copiar l'enllaç i obrir-lo manualment en el navegador principal, després de verificar que el domini i el contingut tenen sentit.
4) Activar el mode de bloqueig si existeix una preocupació real pels atacs dirigits
Para quienes sospechan que puguin ser objectius d'alt valor o se troben en contextos de risc —investigacions delicades, treball amb fonts vulnerables, exposició pública intensa—, mereix la pena considerar l'ús del Mode de bloqueig (mode de bloqueig) d'Apple.
Esta funció està específicament dissenyada per frenar atacs avançats: restringir tecnologies web complexes, bloqueja la majoria dels adjunts en missatges, limita certs tipus de trucades entrants i cierra vies d'entrada que el spyware sol aprofitar. No és una solució pensada per a tots els usuaris, ja que pot fer que l'experiència diaria sigui més áspera o limitada.
Sense embargo, en escenaris on l'amenaça no és merament hipotètica, aquest mecanisme pot proporcionar una barrera addicional important. En combinació amb sistemes actualitzats, navegació prudent i bones pràctiques de seguretat digital, Mode de bloqueig es converteix en una peça més d'una estrategia defensiva multinivel.
5) Reduir la quantitat de dades personals exposades a Internet
Los ataques dirigidos rara vez empiezan de la nada. Suelen recolzar en un procés anterior de reconeixement i elaboració de perfils, on els atacants reconeixen dades públiques i semipúbliques sobre els seus objectius per triar la millor forma d'abordar-los i reunir-se amb enllaços o arxius.
Hi ha més informació personal disponible en línia —direccions, telèfons, hàbits, entorn professional, cercles socials—, més senzill resulta construir un missatge creíble que fa que la víctima baixi la guardia. Per això, revisar la configuració de privacitat en xarxes socials i limitar els detalls sensibles pot marcar una gran diferència.
També existeix l'opció de repetir a serveis d'eliminació de dades en webs d'agregadors i corredors d'informació. Aquests serveis suelen carregar-se de localitzar i sol·licitar la retirada de registres personals en múltiples llocs a la vegada; no garanten borrar tot el rastre a Internet, però sí que poden reduir de forma significativa la quantitat d'informació que circula de manera com per als atacants.
Al disminuir los datos disponibles, es complica que quienes dedican a campañas de phishing oa espionaje digital crucen información filtrada con lo que es troba a la web superficial o a la web fosca. Això, en la pràctica, eleva el cost d'atacar a una persona concreta i pot fer que els atacants passen a altres objectius més fàcils.
6) Estar atent a un comportament extraño del dispositiu
No qualsevol fallo del telèfon és síntoma d'un atac sofisticat, però sí que mereix la pena prestar atenció a canvis persistents en el comportament del dispositiu: cierres inesperados de Safari, reinicios frecuentes, sobrecalentamiento sin motivo aparente, consumo de batería anómalo o ralentizaciones extremas.
Per sí solos, aquests signos no proven que existeix un compromís; la majoria de les vegades es deuen a errors de programari, aplicacions mal optimitzades o problemes de configuració. Sense embargo, si el patró es repeteix encara que tanqueu les aplicacions i reinicieu l'equip, convé prendre mesures més fermes.
En aquest punt, el més raonable és assegurar-se de que totes les actualitzacions de seguretat estiguin instal·lades i, si les anomalies continuen, consideren un reseteig del dispositiu o inclòs una restauració completa des d'una copia de seguretat de confiança. Per als usuaris en entorns d'alt risc, també pot ser útil consultar un equip de seguretat especialitzat capaç d'analitzar l'equip amb més detall.
Un any amb múltiples zero-days explotats a l'ecosistema Apple
Encara que Apple no ha revelat que ha estat atacat ni el perfil dels agressors en aquest últim episodi, el patró encaixa amb campanyes anteriors de programari espía que han tingut com a diana a periodistes, defensors dels drets humans, figures polítiques i altres persones amb accés a informació sensible.
Contando aquests dos fallos de WebKit, la companyia suma ja siete vulnerabilidades de dia cero explotades en la naturalesa al llarg de 2025. La xifra inclou errors divulgats a principis de l'any i una actualització de setembre pensada per donar cobertura addicional a dispositius més antics que seguiran en circulació.
En paral·lel, Apple ha aprofitat la versió iOS 26.2 per desplegar un paquet més ampli correccions i millores no directament relacionat amb aquest incident, des de parches per a altres aplicacions i serveis fins a noves funcions en àrees com a Recordatoris, AirDrop, seguiment del somni i Podcasts. Aun així, son dues vulnerabilitats de dia cero les que han acaparat l'atenció pel risc que suposen en mans d'atacants ben organitzats.
La combinació d'amenaces cada vegada més avançades, l'ús continuat d'explotacions de dia cero i la capacitat de resposta mitjançant parches ràpids retrata un entorn en el que la seguretat deixa de ser algo estàtic. Tants grans proveïdors tecnològics com a usuaris finals es ven obligats a millorar ràpidament: les companyies mantenint la protecció de les seves plataformes i els usuaris mantenint els seus equips al dia, afinant els seus hàbits digitals i quan és necessari, recorrent les mesures protectores més estrictas.
Aquestes dues vulnerabilitats de dia no explotades en atacs dirigits recuerdan que inclòs els dispositius millor protegits poden verse compromesos si es combinen fallos desconeguts amb campanyes cuidadosament dissenyades. Mantenerse actualitzat, qüestionar els enllaços que arriben per qualsevol canal, reduir la tonalitat de dades personals i, en els casos de major risc, activar els modes de protecció reforçats les peces clau per conviure amb un panorama en el que les operacions de spyware i vigilància digital siguen guanyant sofisticació any tras any.
