← Volver a artículos
Seguridad· 3 min de lectura

CVE-2025-43529: zero-day en WebKit de Apple explotado en ataques dirigidos

Qué es CVE-2025-43529

CVE-2025-43529 es un fallo de tipo use-after-free (uso de memoria después de liberarla, CWE-416) en WebKit, el motor de navegación que hay detrás de Safari y de cualquier navegador en iOS y iPadOS. Cuando WebKit procesa contenido web manipulado a propósito, una zona de memoria que ya estaba liberada vuelve a usarse. Ese desliz le sirve a un atacante para corromper memoria y, tirando del hilo, llegar a ejecutar código arbitrario en el dispositivo de la víctima.

La National Vulnerability Database (NVD) le da una puntuación CVSS 3.1 de 8.8 (alta), con vector AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Es decir: ataque remoto, de baja complejidad, sin privilegios previos, y basta con que la víctima interactúe, por ejemplo abriendo una página web preparada. El golpe a confidencialidad, integridad y disponibilidad es alto en los tres frentes.

A quién afecta

El fallo vive en WebKit, así que toca casi todo lo de Apple. Según los avisos, las versiones vulnerables son las anteriores a:

  • Safari 26.2
  • iOS y iPadOS 18.7.3 y la serie 26.0–26.2
  • macOS 26.2 (incluida macOS Tahoe 26.2)
  • tvOS, visionOS y watchOS anteriores a 26.2

Como WebKit es obligatorio para cualquier navegador en iOS/iPadOS, ahí no te salva ni cambiar a un navegador alternativo.

Gravedad y explotación

Lo urgente aquí no es solo la nota CVSS. Está confirmada la explotación activa. Apple reconoció que el problema “puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos” en versiones de iOS anteriores a iOS 26. Cuando aparece ese patrón de ataques dirigidos y muy elaborados, el dedo suele apuntar al spyware comercial y a operaciones de vigilancia contra periodistas, activistas o gente de alto perfil.

Por eso CISA incluyó CVE-2025-43529 en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y marcó como fecha límite de remediación el 5 de enero de 2026 para las agencias federales estadounidenses. El plazo solo obliga a esas agencias, pero la señal vale para todos: el fallo se está usando ahí fuera y conviene corregirlo cuanto antes.

Mitigación y parche

La medida es directa: actualizar a las versiones corregidas. Apple repartió los parches en diciembre de 2025 con la versión 26.2 de sus sistemas operativos y con la actualización adicional iOS/iPadOS 18.7.3 para los dispositivos que todavía no han pasado a iOS 26.

Pasos recomendados:

  1. En iPhone/iPad, ir a Ajustes › General › Actualización de software e instalar la última versión disponible.
  2. En Mac, abrir Ajustes del Sistema › General › Actualización de software.
  3. Comprobar que Safari y el resto de apps que usan WebKit estén al día.
  4. En entornos gestionados, dar prioridad al despliegue mediante MDM y verificar el cumplimiento.

Ninguna mitigación fiable sustituye al parche. Como basta con visitar contenido web malicioso para caer, actualizar es la única protección sólida. Si llevas equipos macOS junto a otros sistemas, te interesa repasar también las prácticas de endurecimiento del sistema operativo en nuestra guía /articulos/selinux-y-apparmor.

Más información sobre la versión del sistema en la ficha de macOS.

Fuente

Sistemas relacionados

macOS