## Dos vulnerabilidades, dos firmas inéditas
La reciente actualización de iOS 26.5 ha colmado un total de 50 vulnerabilidades, entre las que destacan dos críticas. La primera, etiquetada como CVE-2026-28942, involucra a WebKit. Un iframe malicioso tenía la capacidad de explotar los parámetros de descarga de otro sitio. Este hallazgo fue atribuido a Milad Nasr y Nicholas Carlini, ambos miembros del equipo de red teaming de Anthropic, que trabajaron junto con el modelo Claude.
La segunda vulnerabilidad, CVE-2026-28952, afecta al núcleo del sistema operativo y permite un desbordamiento de enteros, lo que podría llevar a una aplicación a provocar un fallo en el sistema. Este hallazgo fue realizado en colaboración con Calif.io y también con el modelo Claude de Anthropic.
Un punto crucial que hay que destacar es que Apple no menciona “Mythos” en sus notas. El nombre “Claude” se refiere a cualquier versión del modelo de Anthropic. Además, ninguna de estas vulnerabilidades fue explotada activamente al momento de lanzar el parche, lo que las convierte en zero-day en su definición más estricta: desconocidas por Apple hasta que fueron reportadas por los investigadores.
## Cinco semanas, dos CVE: ¿símbolo o anticipo?
El contraste en la respuesta de Apple y Mozilla es notable. En su publicación de Firefox 150, lanzada el 21 de abril, Mozilla abordó 271 vulnerabilidades identificadas gracias a Mythos Preview, tras tres meses de uso previo del modelo. En cambio, Apple tardó solo cinco semanas en identificar y parchar dos CVE. Este desbalance en los resultados es digno de mención.
Existen varias explicaciones para este fenómeno. Apple tradicionalmente no acredita el método de descubrimiento en su documentación, lo que ha formado parte de su política histórica. Además, la ventana de divulgación responsable establecida por Anthropic es de 90 días, prorrogable a 135. Esto implica que las vulnerabilidades que Apple pudo identificar a principios de abril no se harán públicas hasta julio de 2026. Es posible que Apple esté suavizando deliberadamente la exposición al uso de inteligencia artificial de terceros, algo que históricamente han evitado comentar.
## La espera por el informe completo
El informe completo del Project Glasswing se espera para julio de 2026. Por su parte, VulnCheck, que registra las CVE asociadas a Anthropic, ha señalado un total de 40 hasta la fecha en diferentes editoras. Es evidente que el grueso de la información recopilada entre Glasswing y Apple aún no ha sido revelado. A nivel europeo, instituciones como la Bundesbank y FINMA de Suiza han creado presión para acceder a Mythos, sugiriendo que este asunto va más allá de la mera seguridad de software.
## La actualización de iOS 26.5: necesaria y urgente
Mientras aguardamos futuras actualizaciones, iOS 26.5 es una instalación que no debe dejarse pasar. Con 50 fallos corregidos, de los cuales 10 pertenecen a WebKit, este es el parche más masivo desde la versión 26.2. Todos los iPhone 11 y modelos posteriores están incluidos en esta actualización. Para los dispositivos más antiguos, Apple también ha lanzado correcciones en versiones como iOS 18.7.9, iPadOS 18.7.9, y más.
Dada la importancia de la seguridad en nuestros dispositivos, actuar pronto es clave. Si aún no has actualizado, este es el momento ideal para asegurarte de que tu dispositivo esté protegido. ¡No lo dejes para mañana!
About the Author
