Durante años, millones de personas han confiado en que tener un iPhone era una garantía de seguridad. Un ecosistema cerrado, un control férreo sobre la App Store y una larga lista de funciones integradas, desde el cifrado hasta la compartimentación de datos, han sustentado esa percepción. Pero en 2025, ese blindaje ya no es lo que era. La seguridad del iPhone sigue siendo alta, pero el usuario ya no puede delegarla por completo.
Una de las razones es el proceso de apertura forzado por la Ley de Mercados Digitales (DMA, por sus siglas en inglés), impulsada por la Unión Europea. Según esta ley, Apple está obligada a permitir que los usuarios de la UE instalen aplicaciones desde fuera de la App Store, utilicen navegadores con otros motores diferentes a WebKit y den acceso a funciones internas del sistema a desarrolladores externos. Aunque estas medidas buscan impulsar la competencia, también abren la puerta a nuevas amenazas que antes simplemente no podían entrar.
“Paradójicamente, cuanto más se abre un ecosistema, más responsabilidad recae sobre el usuario. Ya no basta con confiar en que Apple lo vigile todo. Ahora, cada decisión de instalación, cada permiso concedido, cuenta”, advierte Josep Albors, director de Investigación y Concienciación de ESET España. “Y aunque estas medidas se aplican legalmente dentro de la Unión Europea, su impacto va más allá. Los patrones de ataque, la propagación del malware y los modelos de ingeniería social no conocen fronteras.”
Más vectores de riesgo
A esta nueva arquitectura más abierta se suman amenazas que han ido creciendo en los últimos meses:
- Aplicaciones maliciosas que esquivan controles: algunas apps falsas han conseguido colarse en tiendas alternativas o incluso en la propia App Store, haciéndose pasar por gestores de contraseñas, wallets de criptomonedas o asistentes de IA.
- Malware distribuido mediante apps web progresivas (PWA): al instalarse desde el navegador sin pedir permisos explícitos, muchas de estas apps pueden pasar desapercibidas. Según el Threat Report de ESET del segundo semestre de 2024, esta técnica ya se ha utilizado para camuflar troyanos bancarios en Europa central.
- Técnicas de ingeniería social más sofisticadas: estafas por iMessage, llamadas falsas por FaceTime simulando ser de Apple Support o notificaciones de calendario con enlaces maliciosos siguen en circulación, cada vez mejor diseñadas.
- Dispositivos con jailbreak: aunque menos comunes, los iPhones modificados siguen representando un punto crítico. Al romper las restricciones del sistema, se desactivan protecciones clave y se facilita la entrada de software no fiable.
ESET advierte: apertura y seguridad deben ir de la mano
Desde ESET subrayamos que la apertura del ecosistema iOS trae consigo nuevas oportunidades para desarrolladores y usuarios, pero también un escenario más complejo en términos de protección. “La libertad tecnológica es positiva, pero implica asumir una mayor responsabilidad. El usuario pasa a tener un papel más proactivo en la gestión de su propia seguridad”, apunta Albors.
En este nuevo contexto, instalar apps desde fuera de la App Store o conceder permisos sin analizar su alcance puede abrir la puerta a riesgos que antes eran menos frecuentes. Por eso, desde ESET recomendamos adoptar un enfoque más consciente, sin renunciar a la innovación, pero sin bajar la guardia, y exponemos una serie de pautas básicas para reforzar la protección:
- Descargar solo desde fuentes de confianza: si se recurre a tiendas externas, conviene verificar la legitimidad del desarrollador y de la plataforma.
- Actualizar siempre el sistema operativo: las actualizaciones corrigen vulnerabilidades activamente explotadas.
- Evitar hacer jailbreak al dispositivo: debilita las protecciones nativas y desactiva actualizaciones automáticas.
- Revisar los permisos de cada app: especialmente las que no provienen de la App Store.
- Desconfiar de mensajes inesperados: aunque parezcan legítimos. iMessage, FaceTime, SMS o notificaciones pueden ser usados como puerta de entrada de un ataque.
- Usar contraseñas robustas y activar la verificación en dos pasos: para el Apple ID y otros servicios sensibles.
- Comprobar regularmente los dispositivos conectados a iCloud.
- Evitar instalar apps desde enlaces web o correos: salvo que sean de total confianza .