Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en iPhone con procesadores A12 y A13

Fecha de publicación 07/07/2026

En junio de 2026 se hizo público un hallazgo de ciberseguridad que afecta a determinados modelos de iPhone equipados con los procesadores A12 y A13. El suceso se produjo cuando los investigadores de la empresa Paradigm Shift identificaron y divulgaron una vulnerabilidad localizada en el BootROM o SecureROM de estos chips, un componente que forma parte de la cadena de arranque del dispositivo. Antes de la publicación de los detalles técnicos, los investigadores notificaron el descubrimiento al equipo de seguridad de Apple siguiendo el procedimiento habitual de divulgación responsable. La vulnerabilidad fue presentada como un fallo de hardware, es decir, una característica inherente al diseño del chip y no un problema introducido por una versión concreta del sistema operativo. Debido a esta naturaleza, el incidente se enmarca en una vulnerabilidad de bajo nivel cuya existencia se confirmó tras la publicación del informe técnico por parte de los investigadores.

La investigación describe un exploit denominado usbliter8, que permite aprovechar la vulnerabilidad para comprometer la cadena de arranque de los dispositivos afectados bajo determinadas condiciones. Según el informe técnico, el ataque requiere disponer de acceso físico al iPhone, conectarlo mediante USB y ponerlo en modo DFU, por lo que no puede explotarse de forma remota a través de Internet. Los dispositivos afectados corresponden a modelos con procesadores A12 y A13, mientras que las generaciones posteriores incorporan un diseño de hardware diferente que no presenta este problema concreto. Al tratarse de un fallo residente en el BootROM, Apple no ha anunciado una actualización de software para corregirlo, ya que este tipo de componente no puede modificarse mediante una actualización de iOS. La compañía ya había introducido cambios de hardware en generaciones posteriores de sus procesadores para evitar esta vulnerabilidad.

En la actualidad, el estado actual del suceso es el de una vulnerabilidad conocida, documentada y divulgada públicamente, cuya existencia ha sido reconocida mediante la notificación previa al fabricante y cuya mitigación se basa en las mejoras de hardware implementadas en las generaciones más recientes de dispositivos.