Apple lanzó el 13 de mayo de 2026 iOS 26.5, una actualización que corrige más de 60 fallos de seguridad en iPhone y iPad, incluidos seis parches en el kernel y alrededor de una docena de errores en WebKit. Entre los problemas más delicados figura CVE-2026-28951, una falla que podría permitir que una app obtenga privilegios de root, además de varios bugs que afectan la navegación web y la protección de datos.
La compañía también publicó iOS 18.7.9 para modelos antiguos, con correcciones similares para el iPhone XS, iPhone XS Max, iPhone XR y el iPad de séptima generación. La actualización principal llega para iPhone 11 y posteriores, así como para iPad Pro de 12,9 pulgadas de tercera generación y posteriores, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de octava generación y posteriores, y iPad mini de quinta generación y posteriores.
El parche aborda una serie de vulnerabilidades que Apple no describió en detalle antes de dar tiempo a los usuarios para instalarlo, una práctica habitual en sus boletines de seguridad. Entre ellas están CVE-2026-43660 y CVE-2026-28907, vinculadas con contenido web malicioso que podría impedir que se aplique Content Security Policy; CVE-2026-28962, que podría exponer información sensible si el usuario interactúa con contenido malicioso; y CVE-2026-28995 en App Intents, que podría permitir que una app maliciosa salga de su sandbox.
Apple no señaló que alguna de las fallas corregidas en iOS 26.5 haya sido explotada activamente, pero la amplitud del lote subraya la presión constante sobre el iPhone como objetivo de ataques sofisticados. Adam Boynton, de Jamf, dijo que el tipo de componentes corregidos “refleja los tipos de componentes que comúnmente se encadenan en ataques móviles modernos”. También señaló que una falla del kernel, CVE-2026-28943, fue atribuida al Threat Analysis Group de Google, mientras que un error de WebKit, CVE-2026-28942, fue atribuido a investigadores de Anthropic que trabajaban con Claude.
La actualización llega apenas unas semanas después de iOS 26.4.2, que corrigió un serio error de notificaciones capaz de permitir que alguien leyera notificaciones borradas. Apple había lanzado iOS 26.4 seis semanas antes, con 37 correcciones de seguridad. Para los usuarios, el mensaje es claro: la cadena de actualizaciones de mayo no responde a una sola amenaza, sino a un sistema entero de debilidades en el núcleo del dispositivo, el navegador y las funciones que conectan las apps con el sistema.
