Apple ha estrenado un mecanismo nuevo para repartir parches de seguridad sin obligar a instalar una versión completa del sistema. Lo llama Background Security Improvements y su primera entrega real corrige CVE-2026-20643, un fallo en WebKit por el que una página web manipulada podía saltarse la política del mismo origen (Same Origin Policy).
Qué falla exactamente
El problema está en la Navigation API de WebKit, el motor que hay detrás de Safari y de cualquier vista web en iOS, iPadOS y macOS. Apple lo describe como un fallo de origen cruzado que se ha resuelto con una mejor validación de la entrada. En la práctica, la Same Origin Policy es la barrera que impide que un sitio lea datos de otro. Cuando esa barrera se rompe, una web maliciosa puede hacerse pasar por otra distinta, una en la que sí confías, y leer información que debería quedar aislada entre pestañas o dominios.
No hace falta instalar nada ni dar permisos raros. Basta con que el navegador procese contenido web preparado para disparar el fallo. Por eso afecta a tanta gente: cualquier app que muestre páginas con WebKit hereda el problema, no solo Safari.
El error lo reportó el investigador Thomas Espach. En el momento del parche no constaba explotación activa.
A quién afecta y qué versiones lo arreglan
Apple lo corrigió en iOS 26.3.1, iPadOS 26.3.1 y macOS 26.3.1, con una entrega adicional en macOS 26.3.2. Si tienes un Mac con macOS Tahoe en su rama 26.x, te llega por esta vía.
Aquí está la parte interesante. Background Security Improvements solo funciona en la última rama del sistema, la 26.x, y se aplica de forma silenciosa en segundo plano si ya estás actualizado. Es la respuesta de Apple al viejo problema de los parches que tardan en llegar porque el usuario pospone la actualización grande. Si te quedaste en una rama anterior de macOS, no recibes este parche automático y tendrías que actualizar por el camino tradicional.
Gravedad y mitigación
La gravedad es alta. Un bypass de la Same Origin Policy abre la puerta a robo de datos entre sitios, que es justo lo que esa política existe para evitar. No llega al nivel de ejecución de código, pero filtrar credenciales de sesión o datos personales de un dominio de confianza es serio.
La mitigación es directa: tener el dispositivo en la rama 26.x y dejar activadas las actualizaciones de seguridad en segundo plano. En Mac, comprueba en Ajustes del Sistema que el dispositivo está al día y que Background Security Improvements aparece activo. Si administras un parque de equipos, conviene confirmar que las máquinas están en macOS 26.3.1 o posterior antes de dar por cerrado el incidente, porque las versiones LTS o más antiguas no reciben este reparto silencioso.
Si te interesa el contexto de las actualizaciones de seguridad de Apple de marzo, en ese mismo lote salió macOS Tahoe 26.4 con más de 70 CVEs corregidos, incluida una escalada a root en PackageKit.
Fuente
- Apple security releases: https://support.apple.com/en-us/100100
- NVD CVE-2026-20643: https://nvd.nist.gov/vuln/detail/CVE-2026-20643