Apple ha publicado la versión 18.4.2 de iOS con una corrección de emergencia para una vulnerabilidad que permitía a terceros, incluyendo fuerzas del orden, acceder al contenido de notificaciones push de aplicaciones sin necesidad de intervenir el dispositivo. El error afectaba específicamente a la forma en que el sistema operativo gestionaba los datos de notificaciones cuando estos eran transmitidos por servidores de aplicaciones como Signal, WhatsApp y Proton Mail.

La vulnerabilidad fue documentada por primera vez por investigadores de seguridad a finales de 2025, pero Apple no publicó una corrección hasta ahora. Durante esos meses, cualquier atacante que hubiera comprometido la red del usuario o tuviera acceso a equipos de red podría haber interceptado notificaciones push y leído su contenido. En la práctica, las fuerzas del orden de varios países habían utilizado técnicas similares para acceder a conversaciones cifradas.

La actualización llega en un momento de presión creciente sobre Apple por parte de gobiernos que buscan mayor acceso a los datos de los dispositivos. La compañía ha argumentado durante años que diseñar puertas traseras para la aplicación de la ley debilita la seguridad de todos los usuarios. Esta corrección demuestra que incluso los mecanismos de notificación estándar pueden convertirse en vectores de ataque si no se implementan con cifrado adecuado de extremo a extremo.

Signal, la aplicación de mensajería cifrada más popular entre usuarios que buscan privacidad, ha recomendado a sus usuarios que actualicen inmediatamente a iOS 18.4.2. La organización sin fines de lucro detrás de Signal ha señalado que la interceptación de notificaciones push no era un fallo de Signal sino del sistema operativo, pero ha aprovechado la situación para recordar que la única forma de garantizar la privacidad de las comunicaciones es utilizar el modo de llamada encriptada de la propia aplicación.