La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una advertencia urgente sobre una vulnerabilidad crítica de día cero en Apple iOS y iPadOS, rastreada como CVE-2025-24200, que está siendo explotada activamente en ataques dirigidos.
La falla, una omisión de autorización en el modo restringido USB de Apple, permite a atacantes con acceso físico desactivar las protecciones de seguridad en dispositivos bloqueados, exponiendo potencialmente datos confidenciales.
Vulnerability Details and Exploitation
CVE-2025-24200, catalogado bajo CWE-863 (Autorización incorrecta), reside en la gestión del estado del Modo restringido USB, una característica de seguridad introducida en iOS 11.4.1 para bloquear la comunicación USB con accesorios si el dispositivo permanece bloqueado durante más de una hora.
Los atacantes que explotan esta falla pueden eludir estas restricciones y otorgar acceso no autorizado a herramientas de extracción de datos que suelen utilizar las fuerzas del orden o actores maliciosos.
Apple confirmó que la vulnerabilidad se aprovechó en ataques «extremadamente sofisticados» contra personas de alto valor, aunque los detalles sobre los actores de la amenaza siguen sin revelarse.
El exploit requiere acceso físico al dispositivo, lo que lo clasifica como un vector de ataque ciberfísico. Los investigadores de seguridad, incluido Bill Marczak del Citizen Lab de la Universidad de Toronto, identificaron la falla y la informaron a Apple.
Citizen Lab tiene un historial de descubrir campañas de vigilancia avanzadas, lo que sugiere que grupos patrocinados por el estado pueden estar detrás de la explotación.
Dispositivos afectados y mitigación
La vulnerabilidad afecta a una amplia gama de dispositivos Apple, incluidos:
- iPhone XS y modelos posteriores
- iPad Pro de 12,9 pulgadas (segunda generación y posteriores)
- iPad Air (tercera generación y posteriores)
- iPad mini (quinta generación y posteriores)
Apple lanzó parches de emergencia el 10 de febrero de 2025 a través de iOS 18.3.1, iPadOS 18.3.1 y iPadOS 17.7.5 para modelos más antiguos.
CISA ha agregado la vulnerabilidad a su Catálogo de vulnerabilidades explotadas conocidas y recomienda a los usuarios que solucionen el problema antes del 5 de marzo de 2025.
Si bien Apple no ha vinculado los exploits con proveedores de vigilancia específicos, la sofisticación se alinea con las tácticas empleadas por empresas como NSO Group, cuyo software espía Pegasus históricamente ha explotado vulnerabilidades similares.
El informe de transparencia de la compañía señala que sus herramientas se venden a 54 clientes gubernamentales en 31 países, lo que genera preocupaciones sobre el uso indebido contra periodistas, activistas y políticos.
Recomendaciones
Los usuarios deben instalar inmediatamente las últimas actualizaciones de iOS/iPadOS a través de Configuración > General > Actualización de software y habilitar las actualizaciones automáticas. Las organizaciones que dependen de dispositivos Apple para operaciones confidenciales deben aplicar protocolos de seguridad física para disuadir el acceso no autorizado.
