Nueva actualización iOS 26.4.2 corrige vulnerabilidad explotada por el FBI en notificaciones
El gigante tecnológico Apple ha lanzado una nueva actualización de iOS para corregir una vulnerabilidad que afectaba la base de datos de notificaciones del sistema. El fallo hacía posible que las autoridades accedieran a notificaciones push eliminadas en un iPhone o en un iPad, incluso cuando los usuarios creían que esa información ya no estaba disponible en el dispositivo.
No se trataba de un detalle menor, debido a que esta brecha pudo abrir una vía para que agencias como el FBI pudiesen esquivar, al menos de forma parcial, la postura cada vez más estricta de Apple en materia de privacidad. La Electronic Frontier Foundation ha señalado que este tipo de debilidad resulta delicada, ya que la compañía exige desde el 2023 una orden judicial para entregar datos relacionados con notificaciones.
En teoría, esa exigencia refuerza la protección del usuario frente a solicitudes gubernamentales. En la práctica, si cierta información permanecía almacenada de forma local en el equipo luego de haber sido eliminada, las autoridades podían intentar obtenerla por medio de herramientas forenses, sin depender necesariamente de los servidores de Apple.
Según las notas oficiales del gigante de Cupertino, el sistema operativo iOS 26.4.2 introduce una mejor redacción de datos para solucionar un problema en el que las notificaciones marcadas para la eliminación podían conservarse inesperadamente en el dispositivo.
La actualización ya está disponible para iPhone 11 y modelos posteriores, así como también, para varios modelos recientes de iPad, incluidos iPad Pro, iPad Air, iPad estándar y los iPad mini compatibles. El uso de esta falla por parte del FBI ha sido reportado por diversos medios digitales.
De acuerdo con la investigación, la agencia podría haber empleado una herramienta capaz de acceder a datos de notificaciones de Signal almacenados localmente en un iPhone, aún después de que estos datos hubiesen sido borrados por los usuarios.
La ciberdelincuencia se vuelve más sofisticada a medida que surgen nuevas tecnologías, por lo que los defensores deben adelantarse a tácticas y técnicas casi de inmediato. Por ello, TIC Defense pone a disposición de las corporaciones un conjunto de herramientas y soluciones de última tecnología con el objetivo de proteger la información digital de la misma.
Este caso ha encendido las alarmas debido a que Signal es una aplicación asociada precisamente con comunicaciones privadas y cifradas. Si bien el contenido de los mensajes puede estar protegido, las notificaciones pueden revelar información sensible, como nombres de contactos, fragmentos de mensajes o indicios acerca de la actividad del usuario.
Directores y ejecutivos de Signal reconocieron el problema posteriormente y señalaron que las notificaciones vinculadas a mensajes eliminados no deberían permanecer en ninguna base de datos de notificaciones del sistema operativo y han afirmado que la app ya había pedido a Apple que solucionara la situación.
En aquel momento, los ejecutivos recomendaron a los usuarios modificar la configuración de Signal para que las notificaciones push no mostraran ni el nombre del remitente ni el contenido del mensaje. Luego de conocerse la corrección de Apple, Signal ha celebrado públicamente que la organización hubiese publicado tanto el parche como el aviso de seguridad correspondiente.
