Podemos ganar una comisión por los enlaces de esta página.
Si bien la atención colectiva del mundo de la tecnología está actualmente fijada en iOS 27, Apple todavía está produciendo actualizaciones para iOS 26. Si bien no es probable que obtengamos otro lanzamiento lleno de funciones en la era «26», siempre habrá errores y fallas de seguridad que eliminar cada vez que Apple o investigadores externos los descubran. Caso en cuestión: el lunes, Apple lanzó iOS 26.5.2, que incluye correcciones para 29 vulnerabilidades de seguridad.
Sin embargo, más interesante que los errores que corrigen estos parches es que la compañía originalmente no tenía la intención de lanzarlos todavía. De hecho, iOS 26.5.2 marca un cambio radical en la forma en que Apple implementa actualizaciones de seguridad, en gran parte debido a las posibles amenazas de los nuevos modelos de IA.
Apple está cambiando la forma en que maneja las actualizaciones de seguridad
iOS 26.5.2 no siempre estuvo destinado a serlo. Apple dijo a Reuters a principios de esta semana que estos parches en realidad estaban destinados a una versión futura de iOS, tal vez iOS 26.6, pero la compañía ahora está cambiando la forma en que maneja las actualizaciones de seguridad en el futuro, específicamente debido a las amenazas de seguridad de modelos como Claude Mythos de Anthropic. Estos modelos pueden detectar fácilmente vulnerabilidades de seguridad en el software antes que los investigadores humanos y, como tal, Apple considera necesario lanzar parches tan pronto como estén disponibles. Tradicionalmente, la empresa incluye parches de seguridad con sus actualizaciones de software típicas, a diferencia de otras empresas que separan los parches de seguridad de las actualizaciones de funciones. Pero a medida que estos nuevos modelos de IA se difunden y crece el riesgo de que los malos actores descubran vulnerabilidades de seguridad, Apple ahora lanzará nuevos parches mucho antes de lo que lo haría normalmente.
Como tal, debería esperar ver aparecer más actualizaciones en sus dispositivos Apple que en el pasado. No me sorprendería ver que iOS 26.5.3 llegue a escena antes que iOS 26.6, y Apple puede lanzar más actualizaciones de «iOS 26» de lo habitual antes de que salga iOS 27 este otoño. Siempre debes actualizar tus dispositivos cada vez que esas actualizaciones estén disponibles, ya que la amenaza de los modelos de seguridad de IA es realmente significativa.
Esto es lo que parchea iOS 26.5.2
Primero, la buena noticia: ninguna de estas vulnerabilidades parece ser de «día cero». Un día cero es una falla de seguridad que se divulga públicamente o se explota activamente antes de que el desarrollador de software tenga la oportunidad de publicar un parche. Son especialmente peligrosos, ya que les dan a los piratas informáticos la ventaja: pueden intentar encontrar un exploit (o, peor aún, aprovechar ese exploit) durante el tiempo que le lleve al desarrollador publicar una actualización y a su base de usuarios instalarla. Afortunadamente, ninguno de estos defectos parece cumplir los requisitos, lo que significa que no se trata de una situación de misión crítica. Aún así, cualquier falla de seguridad sin parchear es preocupante, y ahora que se revelan, es solo cuestión de tiempo antes de que alguien descubra cómo explotarlas, especialmente cuando cuentan con la ayuda de nuevos modelos de IA. Como tal, es importante instalar iOS 26.5.2 lo antes posible.
¿Qué opinas hasta ahora?
Según las notas de la versión de seguridad oficiales de Apple, iOS 26.5.2 (y iPadOS 26.5.2) corrigen 29 fallas de seguridad. Muchas de las fallas tienen que ver con la forma en que WebKit, el motor de Apple que impulsa Safari, protege los datos del usuario. Verá algunas fallas que podrían exponer datos confidenciales si el usuario procesa contenido web malicioso (por ejemplo, si hace clic en un enlace fraudulento), así como una vulnerabilidad que podría filtrar datos confidenciales simplemente visitando un sitio web, incluso si ese sitio no es necesariamente malicioso. Otro parche corrige una falla que permitiría a los sitios web maliciosos procesar datos fuera del «sandbox», o el elemento seguro en el que Apple mantiene los sitios web para que no se aventuren en partes seguras de iOS, mientras que otro parche corrige una falla que podría robar datos del portapapeles sin su conocimiento.
Encontrará los 29 parches enumerados a continuación, junto con una descripción, la solución y el número CVE (vulnerabilidades y exposiciones comunes) utilizado para rastrearlos. Nuevamente, ninguna de estas fallas tiene un exploit activo conocido.
-
IOGPUFamilia: Una aplicación puede provocar la finalización inesperada del sistema. Se solucionó una condición de carrera con un mejor manejo del estado. CVE-2026-43743: Lyutoon, Dun
-
Núcleo: una aplicación puede provocar la terminación inesperada del sistema o escribir en la memoria del kernel. El problema se abordó mejorando la desinfección de los insumos. CVE-2026-43724:
-
Núcleo: Es posible que una aplicación pueda filtrar el estado sensible del kernel. El problema se abordó mejorando la desinfección de los insumos. CVE-2026-43722.
-
Núcleo: Una aplicación puede provocar la finalización inesperada del sistema o dañar la memoria del kernel. Este problema se solucionó con una validación de entrada mejorada. CVE-2026-39868.
-
libxslt: El procesamiento de contenido web creado con fines malintencionados puede provocar una falla inesperada del proceso. Se solucionó un problema de doble liberación con una gestión de memoria mejorada. CVE-2026-43706.
-
libxslt: El procesamiento de contenido web creado con fines malintencionados puede provocar una falla inesperada del proceso. El problema se solucionó mejorando el manejo de la memoria. CVE-2026-43703.
-
Extensiones web: Una extensión web maliciosa puede provocar un bloqueo inesperado del proceso. Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada. CVE-2026-43704.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede revelar información confidencial del usuario. Se abordó un problema de origen cruzado con un seguimiento mejorado de los orígenes de seguridad. CVE-2026-43700.
-
kit web: Un sitio web malicioso puede filtrar datos de distintos orígenes. El problema se solucionó con controles mejorados. CVE-2026-43735.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar una falla inesperada del proceso. Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada. CVE-2026-43734/CVE-2026-43726/CVE-2026-43709/CVE-2026-43699/CVE-2026-43742.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede revelar información confidencial del usuario. Se solucionó un problema de manejo de rutas con una validación mejorada. CVE-2026-43732.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar daños en la memoria. Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada. CVE-2026-43731/CVE-2026-43715.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada. CVE-2026-43727.
-
kit web: un sitio web malicioso puede procesar contenido web restringido fuera del entorno limitado. El problema se solucionó con una validación de entrada mejorada. CVE-2026-43725.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar una falla inesperada del proceso. El problema se solucionó mejorando el manejo de la memoria. CVE-2026-43663/CVE-2026-39872/CVE-2026-43712.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. El problema se solucionó mejorando el manejo de la memoria. CVE-2026-43716.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. Se solucionó un problema de acceso fuera de los límites mejorando la verificación de límites. CVE-2026-43676.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar la divulgación de la memoria del proceso. El problema se solucionó mejorando el manejo de la memoria. CVE-2026-43740.
-
kit web: Visitar un sitio web puede filtrar datos confidenciales. Se solucionó un problema de permisos con restricciones adicionales. CVE-2026-43713.
-
kit web: Un sitio web malicioso puede filtrar datos de distintos orígenes. El problema se solucionó con una validación de entrada mejorada. CVE-2026-43708.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar una falla inesperada del proceso. Se solucionó un problema de corrupción de memoria mejorando el manejo de la memoria. CVE-2026-43707.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar daños en la memoria. Se solucionó un problema de confusión de tipos con comprobaciones mejoradas. CVE-2026-43705.
-
kit web: un sitio web malicioso puede procesar contenido web restringido fuera del entorno limitado. El problema se solucionó con controles mejorados. CVE-2026-43701.
-
kit web: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. Se solucionó un problema de escritura fuera de límites con una validación de entrada mejorada. CVE-2026-43745.
-
Lienzo WebKit: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada. CVE-2026-43720.
-
Almacenamiento WebKit: Un sitio web malicioso puede secuestrar silenciosamente los datos del portapapeles. Esta cuestión se abordó mediante una mejor gestión estatal. CVE-2026-43721.
-
WebRTC: El procesamiento de contenido web creado con fines malintencionados puede provocar una falla inesperada del proceso. Se solucionó un problema de acceso fuera de los límites mejorando la verificación de límites. CVE-2026-28979.
-
WebRTC: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. Se solucionó un desbordamiento de pila con una validación de entrada mejorada. CVE-2026-43718.
-
WebRTC: El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado de Safari. Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada. CVE-2026-43717/CVE-2026-43746.
Cómo actualizar a iOS 26.5.2
La instalación de este parche de seguridad es igual que cualquier otra actualización de iOS. Si tiene habilitadas las Actualizaciones automáticas, el sistema operativo debería actualizarse por sí solo a su debido tiempo. Sin embargo, puede iniciar manualmente el proceso dirigiéndose a General > Actualización de software y siguiendo las instrucciones que aparecen en pantalla.
