Apple A12 y A13 en riesgo permanente: el exploit "usbliter8" que no se puede parchear

En junio de 2026, un equipo de investigadores de seguridad dio a conocer un método de ataque que compromete de forma irreversible el arranque seguro de dispositivos Apple equipados con los chips A12 y A13. El exploit, denominado usbliter8, explota una vulnerabilidad en el SecureROM —el código de arranque más bajo y más privilegiado de estos procesadores— que reside en la memoria de silicio y no puede ser modificado mediante actualizaciones de software. Esto significa que, una vez que un dispositivo cae en manos de un atacante con conocimientos técnicos y el hardware adecuado, la infección persiste durante toda la vida útil del equipo. La gravedad radica en que, al comprometer el SecureROM, el atacante obtiene control total sobre el proceso de arranque, saltándose todas las protecciones posteriores y permitiendo la instalación de firmware malicioso o la extracción de datos sensibles.

El ataque no es remoto. Requiere acceso físico al dispositivo, que debe estar en modo DFU (Device Firmware Update) y conectado a una placa microcontroladora basada en el chip RP2350. Con esta configuración, el exploit se ejecuta en menos de dos segundos, antes de que la cadena de arranque firmada por Apple pueda cargarse. El equipo de investigación publicó el 18 de junio de 2026 un informe técnico detallado y una prueba de concepto funcional, siguiendo un proceso de divulgación coordinada con Apple Product Security. Aunque el anuncio fue público, el fabricante no ha emitido actualizaciones de software para solucionar la vulnerabilidad, ya que el problema reside en el hardware y no en el sistema operativo.

Qué es el SecureROM y por qué este exploit es tan peligroso

El SecureROM es una porción de código grabada en la memoria no volátil (firmware) de los chips Apple durante su fabricación. Su función principal es verificar la integridad del siguiente nivel de arranque —el bootloader— antes de permitir que el sistema operativo se cargue. Al ser parte del silicio, no puede ser sobrescrito por actualizaciones de iOS, iPadOS o watchOS. Por eso, cualquier vulnerabilidad en el SecureROM se convierte en un riesgo permanente para los dispositivos afectados. En este caso, usbliter8 permite a un atacante ejecutar código arbitrario en ese entorno privilegiado, lo que equivale a tener el control absoluto del dispositivo desde el primer momento en que se enciende.

La explotación no requiere conocimientos avanzados de ingeniería inversa ni herramientas costosas. El atacante solo necesita un dispositivo compatible en modo DFU, una placa microcontroladora RP2350 económica y el software de prueba de concepto publicado. Esto reduce significativamente la barrera de entrada para actores maliciosos con motivaciones específicas, como agencias de inteligencia, grupos de cibercriminales especializados o incluso usuarios con conocimientos técnicos avanzados. La velocidad del ataque —menos de dos segundos— lo hace especialmente peligroso en situaciones donde el dispositivo puede ser interceptado brevemente, como en controles de seguridad, viajes o entornos laborales compartidos.

El mecanismo técnico: cómo un error de DMA permite el ataque

La vulnerabilidad se basa en un error en la gestión de la memoria por parte del controlador USB integrado en los chips A12 y A13. Según el análisis técnico, el controlador almacena paquetes USB Setup mediante acceso directo a memoria (DMA), utilizando un puntero de escritura que se incrementa con cada paquete recibido. Sin embargo, el controlador acepta paquetes más pequeños de lo estándar, lo que hace que el puntero solo se incremente en función del tamaño real del dato recibido. Este comportamiento crea una discrepancia acumulativa: cada cuatro paquetes, el puntero se reinicia decrementándose en 24 bytes, lo que genera un desbordamiento de búfer controlado.

Este desbordamiento no tendría mayor impacto si el sistema contara con mecanismos de protección adecuados. Sin embargo, en los chips A12 y A13, el Apple USB DART (Device Address Resolution Table), que funciona como un IOMMU (unidad de gestión de memoria de E/S), está configurado en modo bypass dentro del SecureROM. Esto significa que el puntero de escritura, al retroceder 12 bytes por cada ciclo, puede acceder y sobrescribir áreas arbitrarias de la memoria SRAM. En el caso del A12, la memoria afectada incluye el búfer del USB y la pila de la tarea USB, ubicada en el heap. Al sobrescribir un registro de enlace guardado, el atacante obtiene el control del contador de programa en el siguiente cambio de contexto.

En el A13, la explotación es más compleja debido a la implementación de Pointer Authentication, una técnica de seguridad que protege los punteros de código. Sin embargo, los investigadores demostraron que es posible evadir esta protección mediante técnicas avanzadas de manipulación de memoria, lo que confirma que el exploit es viable incluso en hardware más reciente dentro de la misma generación.

Dispositivos afectados: una lista extensa de productos Apple

La prueba de concepto publicada por los investigadores funciona directamente en los sistemas en chip (SoC) A12, A13, S4 y S5. Esto incluye una amplia gama de dispositivos lanzados entre 2018 y 2020. Entre los modelos más conocidos se encuentran el iPhone XS, XS Max y XR; el iPhone 11, 11 Pro y 11 Pro Max; el iPhone SE de segunda generación; el iPad Air de tercera generación, el iPad mini de quinta generación y el iPad de octava generación. También afecta a los relojes Apple Watch Series 4 y 5, así como a la primera generación de Apple Watch SE, el HomePod mini y otros productos domésticos que utilizan estos chips.

Es importante destacar que el exploit no afecta a los chips A11 ni a los modelos posteriores a A13. El A11, por ejemplo, implementa una protección adicional: su controlador USB reinicia manualmente la dirección DMA después de cada paquete, lo que evita la acumulación del error y, por tanto, la explotación. En el caso de los chips A14 y posteriores, Apple parece haber corregido la configuración del DART, lo que impide que la vulnerabilidad sea explotable en hardware más reciente. Esto sugiere que Apple identificó el problema y lo solucionó en generaciones posteriores, aunque no ha emitido comunicados públicos al respecto.

Implicaciones para la seguridad y la privacidad de los usuarios

Para los usuarios de dispositivos afectados, el riesgo principal es la posibilidad de que un atacante con acceso físico —y breve— al equipo pueda instalar firmware malicioso persistente, conocido como "bootkit". Este tipo de malware puede sobrevivir a reinicios, actualizaciones de sistema e incluso restauraciones completas, ya que reside en el SecureROM. Entre las capacidades de un bootkit se incluyen la interceptación de comunicaciones, la extracción de datos sensibles (como contraseñas, mensajes y claves de cifrado), y la ejecución de código en segundo plano sin que el usuario lo detecte.

Además, el exploit permite a un atacante desbloquear el dispositivo, incluso si está protegido con un código de acceso, ya que el control del SecureROM le da acceso a niveles de privilegio superiores al sistema operativo. Esto podría ser especialmente preocupante en contextos donde los dispositivos contienen información confidencial, como en entornos empresariales, gubernamentales o personales con datos sensibles. Aunque el ataque requiere condiciones específicas —acceso físico y modo DFU—, su simplicidad técnica y la disponibilidad del código de explotación lo convierten en una amenaza realista para ciertos perfiles de usuarios.

¿Qué pueden hacer los usuarios afectados?

Dado que el exploit reside en el hardware y no puede ser parcheado por software, las opciones para los usuarios son limitadas. Apple no ha emitido ninguna actualización de seguridad para estos dispositivos, y es poco probable que lo haga, ya que el problema está en el diseño del chip. La recomendación más efectiva es evitar el acceso físico no autorizado a los dispositivos afectados. Esto incluye no dejar el equipo desatendido en lugares públicos, evitar prestarlo a terceros y, en entornos de alto riesgo, utilizar dispositivos más recientes que no sean vulnerables a este exploit.

Para usuarios con necesidades de seguridad extremas, como periodistas, activistas o empleados de empresas con información sensible, la opción más segura es reemplazar los dispositivos afectados por modelos con chips A14 o posteriores. Aunque no se ha confirmado públicamente, los informes técnicos sugieren que estos chips no son vulnerables a usbliter8. Otra medida preventiva es desactivar el modo DFU en situaciones de riesgo, aunque esto no elimina la vulnerabilidad por completo.

En el ámbito empresarial, las organizaciones deberían evaluar el riesgo de mantener dispositivos A12 y A13 en su inventario, especialmente aquellos que manejan datos críticos. La implementación de políticas de gestión de dispositivos móviles (MDM) que limiten el acceso físico y la instalación de firmware podría mitigar, aunque no eliminar, el riesgo. También es recomendable realizar auditorías de seguridad periódicas para detectar cualquier signo de compromiso en los dispositivos.

El futuro de la seguridad en el hardware de Apple

Este incidente destaca un problema recurrente en la industria: la dificultad de corregir vulnerabilidades en el hardware una vez que los chips han sido fabricados. Aunque Apple ha demostrado una capacidad notable para mejorar la seguridad en generaciones posteriores de sus procesadores, el caso de usbliter8 subraya la importancia de integrar protecciones desde las primeras etapas del diseño. La introducción de técnicas como el Pointer Authentication y la correcta configuración del DART en chips posteriores son pasos en la dirección correcta, pero también revelan que los errores de diseño pueden tener consecuencias duraderas.

Para los investigadores de seguridad, este exploit representa un avance significativo en el campo de la explotación de bajo nivel. La capacidad de ejecutar código en el SecureROM sin necesidad de hardware especializado abre nuevas vías para el análisis de vulnerabilidades en sistemas embebidos. Sin embargo, también plantea preguntas éticas y legales sobre la divulgación de pruebas de concepto que, aunque útiles para la comunidad técnica, pueden ser aprovechadas por actores malintencionados.

En el futuro, es probable que Apple y otros fabricantes de hardware adopten medidas más estrictas en el diseño de sus chips, como la segmentación de memoria más robusta, la verificación de firmware en tiempo real y la implementación de mecanismos de detección de manipulaciones físicas. Mientras tanto, los usuarios de dispositivos afectados deberán convivir con el riesgo de que, en algún momento, su equipo pueda ser comprometido si cae en las manos equivocadas.

Conclusión

El exploit usbliter8 marca un hito en la seguridad de los dispositivos Apple al demostrar que, incluso los componentes más protegidos —como el SecureROM— pueden ser vulnerables a ataques sofisticados. Aunque el riesgo es limitado a escenarios con acceso físico y requiere herramientas específicas, su existencia plantea un desafío importante para la privacidad y la integridad de millones de dispositivos en uso. La falta de parcheo no es una omisión, sino una limitación inherente al hardware, lo que obliga a los usuarios a adoptar medidas preventivas y, en muchos casos, a considerar la actualización a hardware más reciente.

Para los responsables de seguridad, este caso sirve como recordatorio de que la protección de los dispositivos debe comenzar en el diseño y no solo en el software. Mientras tanto, los usuarios afectados deben ser conscientes de los riesgos y tomar decisiones informadas sobre cómo gestionar sus equipos en un entorno cada vez más complejo y amenazante.