El pasado miércoles, Apple lanzó una actualización urgente para iOS, iPadOS y macOS destinada a cerrar una brecha crítica en ImageIO (CVE-2025-43300) que, según la compañía, fue aprovechada en ataques dirigidos a usuarios de iPhone y Mac para el robo de criptomonedas.
La vulnerabilidad permitía que una imagen especialmente manipulada corrompiera la memoria del dispositivo sin que el usuario tuviera que abrirla o interactuar con ella; bastaba con que el sistema iniciara el procesamiento automático de la imagen.
Fuentes de seguridad alertaron desde noviembre sobre la posibilidad de que este tipo de fallos expusiera data sensible relacionada con activos digitales, y la actualización de agosto responde a esa advertencia con parches para las versiones afectadas: iOS 18.6.2 y iPadOS 18.6.2, además de macOS Ventura 13.7.8, Sonoma 14.7.8 y Sequoia 15.6.1.
Los investigadores que han analizado el incidente advierten que el vector de ataque no se limita a la corrupción de memoria: la combinación de procesamiento automático y herramientas modernas de extracción de texto en imágenes facilita prácticas maliciosas mucho más pragmáticas.
Herramientas como las denominadas SparkCat o SparkKitty aplican OCR sobre imágenes para detectar frases de recuperación, códigos QR de monederos y direcciones copiadas. Una captura de pantalla con una frase de recuperación, guardada sin las debidas precauciones, se convierte en un blanco accesible; desde ahí, un exploit puede intentar leer la galería, revisar imágenes o escudriñar el contenido del portapapeles.
Procesamiento automático y hábitos que juegan en contra
El problema técnico se combina con prácticas cotidianas que amplifican el riesgo. Varios expertos, entre ellos Juliano Rizzo de Coinspect, han indicado que la mayor parte del trabajo sucio lo hacen los propios usuarios al dejar información crítica a la vista: capturas con frases mnemotécnicas, fotos de códigos QR o direcciones guardadas en imágenes que se comparten o almacenan sin cifrado.
Cuando el atacante dispone de una puerta de entrada técnica -como la explotación de ImageIO-, las herramientas maliciosas solo tienen que recoger lo que ya se encuentra accesible. Esto convierte a cada dispositivo con criptomonedas a bordo en un objetivo atractivo: no por la complejidad del exploit en sí, sino por la facilidad para capturar credenciales descuidadas. Si guardas una frase de recuperación en una captura, es como dejar la llave debajo del felpudo; sí, suena obvio, pero pasa mucho más de lo que quisiéramos admitir.
La opacidad sobre el vector exacto ha dado lugar a hipótesis centradas en iMessage y en el procesamiento de contenido web en Safari. Apple, de momento, mantiene un silencio parcial sobre los detalles concretos del mecanismo explotado en el ataque reportado, una postura que busca equilibrar la divulgación responsable con la contención del riesgo. Mientras tanto, la recomendación de aplicar los parches del 20 de agosto es la primera barrera: corregir las versiones afectadas evita que la técnica conocida prospere en dispositivos sin actualizar.
Señales que no conviene ignorar
Los datos recopilados en 2025: se detectaron múltiples vulnerabilidades de día cero en productos de Apple y, en paralelo, se produjeron filtraciones masivas que dejaron al descubierto miles de millones de credenciales. Entre lo más destacable figuran siete día cero contra productos de la empresa de la manzana y una brecha que expuso más de 16000 millones de contraseñas, con decenas de bases de datos comprometidas.
Para quienes custodian criptomonedas en dispositivos móviles Apple, la lección práctica es doble. Por un lado, aplicar las actualizaciones con rapidez. Las versiones parcheadas (iOS/iPadOS 18.6.2 y las macOS mencionadas) cierran la vulnerabilidad conocida. Por otro lado, revisar y limitar los permisos, como controlar el acceso a fotos y al portapapeles, evitar almacenar frases de recuperación en capturas o notas sin cifrar y, sobre todo, contemplar la opción de usar billeteras frías para saldos importantes. Sí, puede sonar a sermón de manual de seguridad, pero a veces lo más tedioso es lo que evita el desastre.