Apple lanzó el 11 de mayo de 2026 iOS 26.5 y iPadOS 26.5, una actualización que cierra más de 90 fallos de seguridad repartidos por todo el sistema: Kernel, WebKit, ImageIO, IOKit, Networking y varios componentes más. Entre todos ellos hay uno que conviene mirar con calma, CVE-2026-28951, una escalada de privilegios en el propio kernel del dispositivo.
Qué es CVE-2026-28951
Según el aviso de Apple, se trata de un problema de autorización en el kernel que se resolvió con una mejor gestión de estado. En la práctica esto significa que una aplicación ya instalada en el iPhone o el iPad podía, en determinadas condiciones, saltarse las comprobaciones de permisos del sistema y obtener privilegios de root. El fallo lo reportó el investigador Csaba Fitzl (@theevilbit), conocido por su trabajo en seguridad de plataformas Apple.
El kernel es la capa con más privilegios del sistema. Cuando una app consigue ejecutarse a ese nivel, deja de estar confinada por el sandbox que normalmente separa cada aplicación del resto del dispositivo, y pasa a tener acceso a memoria, ficheros y componentes que iOS le tiene vedados a una app corriente.
A quién afecta y qué gravedad tiene
El fallo afecta a iPhone y iPad con versiones de iOS/iPadOS anteriores a la 26.5. Apple lo clasifica con impacto alto: una app maliciosa que llegara al dispositivo podría usar este fallo para escapar de su contenedor y tomar el control a nivel de kernel. El requisito es que el atacante ya tenga código ejecutándose en el equipo, ya sea a través de una app aparentemente legítima o encadenando este fallo con otra vulnerabilidad previa.
Un detalle que aporta tranquilidad: Apple no informó de explotación activa en el momento de la publicación. No estamos ante un zero-day que se estuviera usando en ataques reales, sino ante un fallo descubierto y reportado de forma responsable y parcheado antes de que apareciera abuso conocido.
Cómo protegerse
La respuesta es directa, actualiza a iOS 26.5 o iPadOS 26.5. Puedes hacerlo desde Ajustes > General > Actualización de software. Si tienes activadas las actualizaciones automáticas, lo más probable es que el dispositivo ya esté al día; conviene comprobarlo igualmente, porque este mismo lote tapa otros agujeros de peso en el kernel, como una fuga de memoria (CVE-2026-43654), un desbordamiento de búfer (CVE-2026-28897) y una escritura en memoria de kernel (CVE-2026-28972), además de un buen puñado de fallos en WebKit que se disparan al cargar contenido web.
Para equipos gestionados por una empresa, lo sensato es desplegar la actualización mediante el sistema MDM en cuanto se haya validado, sin dejar pasar semanas. Las escaladas a root del kernel son justo el tipo de pieza que los atacantes encadenan con otros fallos para construir cadenas de explotación completas, así que cerrar la ventana cuanto antes marca la diferencia.
Si gestionas también equipos de escritorio Apple, el lote de mayo de 2026 llegó acompañado de macOS Tahoe 26.5, que parchea decenas de CVE incluido un bypass de Gatekeeper.
Fuente
- Apple Support — About the security content of iOS 26.5 and iPadOS 26.5: https://support.apple.com/en-us/127110
- NVD — CVE-2026-28951: https://nvd.nist.gov/vuln/detail/CVE-2026-28951