Una actualización silenciosa ya está en camino para proteger los navegadores de los usuarios de Apple contra ataques de origen cruzado capaces de robar credenciales activas.
Navegar por la web desde dispositivos Apple acaba de recibir un escudo de emergencia para frenar el robo de sesiones. Hoy, 18 de marzo de 2026, se informa que Apple ha desplegado de urgencia parches de seguridad para abordar una vulnerabilidad de alta gravedad en el motor WebKit, la cual permitía a sitios web maliciosos eludir la Política del Mismo Origen (Same Origin Policy).
El Riesgo de la Falla CVE-2026-20643
Descubierta y reportada por el investigador de seguridad, la vulnerabilidad está clasificada oficialmente bajo el identificador CVE-2026-20643.
El problema de seguridad radica en un fallo de origen cruzado dentro de la API de Navegación de la pila del marco WebKit:
- Bajo condiciones normales, la Política del Mismo Origen es una barrera fundamental de los navegadores modernos que impide estrictamente que un script cargado desde una página interactúe con los recursos de otra.
- Al lograr eludir este mecanismo mediante contenido web manipulado, los ciberdelincuentes rompen esa barrera de aislamiento.
- Esto significa que un atacante puede robar tokens de autenticación, secuestrar las sesiones de los usuarios o exfiltrar información privada directamente desde las pestañas de los sitios web de confianza que la víctima tenga abiertos en ese momento.
Actualizaciones Silenciosas “En Segundo Plano”
Los ingenieros de Apple abordaron la debilidad de la API de Navegación implementando una validación de entrada mucho más estricta para cerrar la brecha.
En lugar de forzar a los usuarios a esperar la próxima gran versión de software, Apple ha distribuido esta solución a través de su mecanismo de “Mejoras de Seguridad en Segundo Plano” (Background Security Improvements), un sistema ligero introducido en la versión 26.1 que protege componentes clave como Safari sin requerir un reinicio largo del sistema.
Estas actualizaciones de respuesta rápida se están aplicando a los sistemas iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Para garantizar que los dispositivos reciban este parche de WebKit de forma inmediata, los usuarios deben navegar al menú de “Privacidad y Seguridad” (en la aplicación Configuración de iOS o Ajustes del Sistema en macOS) y confirmar que la función de “Instalar Automáticamente” dentro de las Mejoras de Seguridad en Segundo Plano esté activada. Si esta opción está apagada, los dispositivos permanecerán vulnerables a ataques de origen cruzado hasta que se instale manualmente una actualización de software estándar.
