Correctifs de sécurité d’iOS 26.3: todo lo que debes saber

iPhone World » General » Correctifs de sécurité d’iOS 26.3: todo lo que debes saber

Apple ha lanzado iOS 26.3 con una oleada de correcciones de seguridad que no conviene pasar por alto. Aunque a primera vista pueda parecer una simple actualización más, estamos ante un paquete que soluciona cerca de 40 vulnerabilidades, incluyendo una zero‑day que ya se habría explotado en ataques muy sofisticados contra objetivos concretos.

Además de estos parches, la versión introduce mejoras de privacidad, ajustes de diseño y un nuevo enfoque para los correctivos discretos en segundo plano, así como cambios obligados por las normativas europeas que facilitan el salto a Android y el uso de accesorios de otros fabricantes. Si usas un iPhone, iPad, Mac, Apple Watch, Apple TV o Apple Vision Pro, esta actualización te afecta de lleno.

Qué es iOS 26.3 y por qué esta actualización es tan importante

iOS 26.3 es una versión intermedia de iOS que, más que presumir de novedades llamativas, pone todo el foco en reforzar la seguridad del ecosistema Apple. Llega algo más tarde de lo que muchos esperaban viendo el calendario de betas, y viene acompañada de quejas por el gran espacio de almacenamiento requerido para instalarla, sobre todo en modelos con poca capacidad.

Aunque no introduce un gran bombazo a nivel de funciones, Apple deja claro en su documentación que la prioridad absoluta son los correctivos de seguridad. Hablamos de casi 40 vulnerabilidades corregidas en componentes clave como CoreServices, el kernel del sistema y WebKit, el motor que hay detrás de Safari y de muchísimas apps que cargan contenido web.

La compañía mantiene su política de no hablar de fallos de seguridad hasta que haya parche disponible. En sus boletines insiste en que, para proteger a los usuarios, no divulga ni confirma vulnerabilidades mientras están en investigación y aún no hay actualización lista. Una vez publicadas, las lista por identificadores CVE (Common Vulnerabilities and Exposures), lo que permite a investigadores y administradores de sistemas seguir cada fallo de forma precisa.

En este contexto, iOS 26.3 destaca porque no se limita al iPhone: la misma oleada de parches llega también a iPadOS, macOS Tahoe 26.3, tvOS, watchOS, visionOS y Safari como aplicación independiente en Mac para quien retrase la actualización completa del sistema.

Todos los dispositivos y sistemas que reciben los correctivos de seguridad

Apple ha sincronizado la publicación de estos parches entre prácticamente todos sus sistemas, de modo que la superficie total de ataque se reduce a la vez en todo el ecosistema. A nivel de software, estas son las versiones que incorporan las correcciones de seguridad de iOS 26.3 y compañías:

• iOS 26.3 e iPadOS 26.3: para iPhone 11 y posteriores; iPad Pro de 12,9 pulgadas desde la 3.ª generación; iPad Pro de 11 pulgadas desde la 1.ª generación; iPad Air desde la 3.ª generación; iPad estándar desde la 8.ª generación; e iPad mini desde la 5.ª generación.
• iOS 18.7.5 e iPadOS 18.7.5: destinados a los modelos algo más antiguos, como iPhone XS, XS Max, XR y iPad de 7.ª generación, que también reciben parte de estos parches críticos.
• macOS Tahoe 26.3: para los Mac que ya están en la rama Tahoe, con correcciones que incluyen la misma vulnerabilidad zero‑day del componente dyld.
• macOS Sequoia 15.7.4 y macOS Sonoma 14.8.4: versiones que continúan manteniendo al día a los Mac que aún no han saltado a Tahoe pero que siguen siendo compatibles.
• tvOS 26.3: para Apple TV HD y todos los modelos de Apple TV 4K.
• watchOS 26.3: destinado a Apple Watch Series 6 y posteriores, que reciben un conjunto de parches muy similar al del iPhone en cuanto a vulnerabilidades cubiertas.
• visionOS 26.3: la actualización de seguridad para Apple Vision Pro, que comparte varios de los fallos cerrados en iOS y macOS.
• Safari 26.3: pensado para usuarios de Mac que, por la razón que sea, retrasan la actualización completa del sistema pero sí quieren tener WebKit y el navegador al día, incluyendo mejoras en el modo de pantalla completa en Apple Vision Pro.

En paralelo, watchOS 26.3 recibe su propio boletín detallado con vulnerabilidades prácticamente calcadas a las de iOS 26.3: problemas de Bluetooth, fallos de gestión de memoria, salidas de sandbox, filtraciones de datos y la misma vulnerabilidad zero‑day grave de dyld reportada por el Google Threat Analysis Group.

La vulnerabilidad zero‑day CVE-2026-20700 en dyld: qué es y a quién afecta

El gran protagonista de esta actualización es el fallo CVE-2026-20700, una vulnerabilidad zero‑day en dyld, el Dynamic Link Editor de Apple. Este componente se encarga de cargar y enlazar las bibliotecas dinámicas y frameworks necesarios justo antes de que una aplicación empiece a ejecutar su código principal.

Según el aviso de seguridad, un atacante con capacidad de escritura en memoria podría llegar a ejecutar código arbitrario aprovechando un problema de corrupción de memoria en dyld. No se trata de una especulación teórica: Apple reconoce que ha recibido informes de que la vulnerabilidad se habría utilizado en una «ataque extremadamente sofisticado» dirigido a personas concretas en versiones de iOS anteriores a iOS 26.

En la práctica, este tipo de fallos se suelen aprovechar como parte de una cadena de exploits encadenados, donde se combinan varias vulnerabilidades para pasar de un primer punto de entrada (por ejemplo, el navegador) hasta el control casi total del dispositivo. En este caso, Apple menciona expresamente que los identificadores CVE-2025-14174 y CVE-2025-43529 también se han emitido o resuelto en respuesta a este mismo informe.

La vulnerabilidad ha sido descubierta por el Google Threat Analysis Group (TAG), el mismo equipo que lleva años destapando campañas de spyware y ataques contra activistas, periodistas, defensores de derechos humanos y figuras políticas. Que sean ellos quienes la reportan apunta a que podría haberse usado en escenarios muy sensibles y de alto perfil.

Apple subraya que, aunque el fallo es grave, no hay indicios de que se haya explotado de forma masiva. Todo apunta a usos dirigidos contra un número reducido de objetivos de alto valor. Aun así, la compañía recomienda encarecidamente que todos los usuarios de iPhone, iPad y Mac instalen las nuevas versiones cuanto antes para cerrar esta puerta.

Otras vulnerabilidades corregidas: kernel, CoreServices, Bluetooth, sandbox y más

Más allá de la zero‑day de dyld, iOS 26.3 incluye una larga lista de vulnerabilidades corregidas repartidas por todo el sistema. Apple detalla cada una con su CVE, el componente afectado, el impacto posible y una breve descripción de la solución aplicada. Muchas de ellas comparten patrón: problemas de memoria, fallos lógicos y validaciones insuficientes.

En el terreno de la interfaz y el acceso físico al dispositivo, se corrigen varios problemas que permitían ver información sensible incluso con el iPhone bloqueado. En algunos casos bastaba con tener el teléfono físicamente en la mano para, mediante una combinación específica de acciones, acceder a fotos, notas borradas u otros datos privados.

También se solucionan errores en la gestión de la interfaz que permitían a un atacante con acceso físico tomar y ver capturas de pantalla de información sensible cuando el iPhone estaba siendo duplicado en la pantalla de un Mac. Apple habla de incoherencias de la interfaz corregidas mediante una mejor gestión de estados y autorizaciones.

En el apartado de conectividad, destaca un conjunto de fallos en Bluetooth y en la pila de red. Por ejemplo, ciertas vulnerabilidades permitían que alguien situado en una posición privilegiada en la red provocara ataques de denegación de servicio mediante paquetes Bluetooth específicamente manipulados, u otras que podían derivar en interceptar tráfico de red si se daban las condiciones adecuadas.

En cuanto a la sandbox y las apps, se han corregido múltiples métodos de escape. Apple detalla casos en los que una aplicación podía salir de su espacio aislado, obtener privilegios de root o acceder a datos sensibles del usuario aprovechando problemas de lógica, errores en la gestión de rutas de ficheros o insuficientes controles de permisos.

Hay también vulnerabilidades relacionadas con la privacidad y la enumeración de apps instaladas. Determinadas aplicaciones podían, antes del parche, averiguar qué otras apps tenía el usuario en el dispositivo o incluso saltarse preferencias de privacidad gracias a una combinación de errores de registro, análisis de rutas y código vulnerable que Apple ha optado por eliminar directamente.

En el ámbito multimedia, se corrigen varios fallos en el procesamiento de imágenes y archivos de medios: desde accesos fuera de límites hasta mala gestión de memoria, que podían desembocar en cierres inesperados de apps, filtración de contenido de memoria o revelación de información de usuario al abrir un archivo malicioso.

Por último, Apple reconoce al menos una vulnerabilidad que procede directamente de código abierto de terceros, con CVE asignado por otra entidad (por ejemplo, CVE-2025-59375). En estos casos, el fabricante aclara que sus sistemas son uno de los proyectos afectados y remite a cve.org para los detalles técnicos completos del problema original.

watchOS 26.3: mismo espíritu, riesgos muy similares

En Apple Watch, la actualización a watchOS 26.3 replica buena parte del trabajo de seguridad realizado en iOS 26.3. La lista de vulnerabilidades cerradas en la documentación oficial es muy parecida, empezando de nuevo por el fallo de Bluetooth que permitía ataques de denegación de servicio desde la red mediante paquetes especialmente preparados.

El reloj también corrige fallos en el manejo de archivos multimedia que podían causar cierres súbitos de apps o corrupción de memoria al procesar contenidos maliciosos. Igual que en iOS, Apple soluciona estos problemas endureciendo las verificaciones de límites y mejorando la gestión de memoria a la hora de tratar datos externos.

Algunas vulnerabilidades en watchOS afectaban a la escalada de privilegios dentro del dispositivo. Determinadas apps podían intentar aprovechar condiciones de carrera (race conditions) para acabar ejecutando código con privilegios root, algo que la actualización corta de raíz mejorando la gestión de estados y las comprobaciones previas.

Tampoco faltan los problemas de salida de la sandbox y acceso indebido a información sensible. Apple habla de fallos en la forma en que se trataban las variables de entorno y los permisos, que se han solucionado reforzando las validaciones y añadiendo restricciones extra.

Y, de nuevo, watchOS incluye la misma vulnerabilidad crítica de dyld (CVE-2026-20700), que podría permitir la ejecución de código arbitrario si un atacante logra escribir en memoria en las condiciones adecuadas. Resulta llamativo cómo el mismo fallo llega a iOS, iPadOS, macOS, tvOS, watchOS y visionOS, lo que demuestra lo central que es este componente en todo el ecosistema.

iOS 26.3 y las nuevas funciones de privacidad y compatibilidad

Aunque la seguridad se lleva los titulares, iOS 26.3 incorpora algunas mejoras prácticas que afectan al día a día. Una de las más relevantes tiene que ver con la privacidad de la ubicación. Apple estrena un ajuste llamado «Limitar la localización precisa», pensado para reducir la precisión de los datos de localización que obtienen los operadores móviles.

La compañía explica que las redes celulares son capaces de estimar la ubicación del dispositivo en función de las antenas a las que se conecta. Con este ajuste activado, se restringe parte de la información disponible, de manera que los operadores solo pueden situar el dispositivo en una zona aproximada (por ejemplo, un barrio) y no en un punto tan exacto como una dirección postal.

Este cambio está diseñado para reforzar la privacidad sin sacrificar la calidad de la señal ni la experiencia de uso. Apple insiste en que limitar la precisión de la geolocalización a nivel de red no debería afectar al rendimiento de las llamadas, los datos móviles ni los servicios básicos, ya que el dispositivo sigue contando con GPS y otros métodos de posicionamiento para las apps que lo necesiten.

En paralelo, iOS 26.3 introduce cambios pensados para cumplir con las exigencias regulatorias de la Unión Europea. Entre ellos destaca la posibilidad de migrar datos de un iPhone a un móvil Android simplemente acercando ambos dispositivos. De esta forma, el usuario puede transferir fotos, archivos, apps compatibles, mensajes y otros contenidos de manera mucho más sencilla.

Eso sí, Apple limita de momento esta función al territorio de la UE, donde las normas de competencia obligan a reducir el bloqueo al cambio de ecosistema. Para muchos usuarios de Android que se plantean volver a Apple (o al revés), esta función es un guiño claro a la interoperabilidad.

Además, la actualización amplía la compatibilidad del iPhone con accesorios de otros fabricantes. Ahora es posible redirigir las notificaciones de iOS a smartwatches con Android como Galaxy Watch o relojes de HONOR, e incluso a gafas conectadas, y se simplifica el emparejamiento de auriculares inalámbricos de marcas como Samsung, Google o Marshall, acercando la experiencia a la que ya tenían los AirPods con iPhone.

En el plano estético, iOS 26.3 reorganiza los fondos de pantalla de Meteo y Astronomía en categorías independientes, suma nuevos estilos dinámicos para la pantalla de bloqueo basada en el tiempo y añade el fondo Black Unity 2026, dentro de la línea de contenidos de apoyo a la comunidad negra que Apple renueva cada año.

Background Security Improvements: el nuevo modelo de parches silenciosos

Con iOS 26.3 y, sobre todo, con la base sentada en iOS 26.1, Apple da un paso más con su sistema de mises à jour de sécurité en segundo plano. El antiguo mecanismo Rapid Security Response, estrenado en iOS 16 para instalar correcciones urgentes sin reiniciar, apenas se utilizó y llegó a causar problemas, como aquel fallo que rompió la visualización de algunas webs en 2023.

El nuevo enfoque se llama Background Security Improvements y busca hacer lo mismo, pero de forma más fiable y transparente. Desde iOS 26.1, este sistema viene preinstalado en todos los iPhone compatibles, pero hasta las betas de iOS 26.3 no se había activado públicamente.

Durante ese ciclo de prueba aparecieron dos pequeñas actualizaciones etiquetadas como iOS 26.3 (a) e iOS 26.3 (b). No se distribuían por el menú tradicional de «Actualización de software», sino desde una nueva sección en Ajustes: Confidencialidad y seguridad > Background Security Improvements. Apple aclaró expresamente en las notas de versión que se trataba solo de pruebas y que no contenían correcciones de seguridad reales.

El proceso de instalación se comporta de forma muy similar a una actualización clásica: descarga, instalación y, si hace falta, reinicio rápido. Pero introduce una novedad interesante: desde ese mismo panel de ajustes el usuario puede retirar manualmente la mejora de seguridad. Al hacerlo, el iPhone reinicia y desinstala completamente el paquete aplicado.

Esta posibilidad de desinstalación da un punto de flexibilidad que puede tranquilizar a quienes teman problemas de compatibilidad con apps o entornos críticos. Apple avisa, eso sí, de que desactivar estas funciones reduce el nivel de protección del dispositivo y podría dejar expuestos a ciertos ataques hasta que esos parches acaben integrados en una futura actualización estándar de iOS.

En paralelo, la compañía ha habilitado en Ajustes un interruptor bajo «Confidencialidad y seguridad» > «Améliorations de la sécurité» que permite activar o desactivar la instalación automática de estas pequeñas actualizaciones de seguridad. Su objetivo es llegar de forma rápida a componentes como Safari, WebKit o ciertas bibliotecas del sistema, sin necesidad de descargar una actualización completa y sin obligar a un reinicio que muchos usuarios posponen durante días.

Por qué deberías instalar ya iOS 26.3, aunque no seas un objetivo de alto perfil

La experiencia de los últimos años demuestra que las vulnerabilidades explotables de forma remota acaban reutilizándose. Muchas de las cadenas de ataques que empezaron contra activistas o periodistas de investigación terminan filtrándose, reaprovechándose por grupos criminales y, con el tiempo, integrándose en kits de explotación más generalistas.

Apple recuerda que fallos como CVE-2026-20700 han sido usados históricamente para desplegar spyware muy intrusivo en dispositivos de personas con cargos sensibles. Compañías como Google o Meta llevan tiempo luchando contra proveedores comerciales de software espía que intentan explotar justo este tipo de debilidades en navegadores, sistemas operativos y plataformas móviles.

Puede que no seas un perfil «de riesgo», pero eso no significa que estés fuera de peligro. Un enlace malicioso, un archivo truqueado o una web comprometida pueden ser suficientes, y muchas veces no hay señales visibles de que algo haya ido mal. Por eso es tan importante llevar el sistema al día: reduces tu exposición sin tener que cambiar tus hábitos de uso.

Además de actualizar, es buena idea usar soluciones de seguridad complementarias en todos los dispositivos personales donde tenga sentido, y activar funciones como el Modo de aislamiento en los productos de Apple si crees que podrías ser un objetivo específico. Este modo endurece aún más las restricciones, aunque limita algunas funciones avanzadas.

En definitiva, iOS 26.3, watchOS 26.3 y el resto de versiones asociadas representan un peldaño importante en la estrategia de seguridad de Apple. No solo corrigen una larga lista de vulnerabilidades —incluida una zero‑day ya explotada—, sino que introducen nuevas piezas como Background Security Improvements y ajustes de privacidad de localización que dejan claro hacia dónde va la compañía: más parches, más rápidos y con menos molestias para el usuario.

Todo este movimiento de Apple, desde la publicación de iOS 26.3 hasta la llegada de los parches equivalentes a iPadOS, macOS, tvOS, watchOS, visionOS y Safari, confirma que las actualizaciones de seguridad ya no son un trámite opcional, sino una parte fundamental del mantenimiento de cualquier dispositivo. Aunque la actualización pueda ocupar bastante espacio o no traiga grandes funciones nuevas, el equilibrio entre correcciones críticas, mejoras de privacidad, más compatibilidad con otros ecosistemas y un nuevo modelo de parches en segundo plano hace que dar el salto a iOS 26.3 y sus hermanos sea, hoy por hoy, la forma más sensata de proteger tus datos y seguir usando tus equipos Apple con cierta tranquilidad.

Artículo relacionado:

iOS 26.3.1: la actualización intermedia que Apple prepara antes de su próxima ola de lanzamientos