Un reciente informe de seguridad ha revelado una peligrosa familia de vulnerabilidades en Apple AirPlay, el sistema que permite compartir contenido multimedia entre dispositivos Apple (y otros compatibles) de forma inalámbrica. La investigación, liderada por expertos en ciberseguridad, ha identificado estas fallas bajo el nombre AirBorne, y advierte sobre su capacidad de permitir ataques sin interacción del usuario (zero-click) y potencial propagación automática tipo gusano entre dispositivos.
¿Qué es Apple AirPlay y por qué es tan utilizado?
AirPlay es una tecnología de transmisión de contenido desarrollada por Apple que permite compartir audio, vídeo e incluso pantallas completas entre dispositivos compatibles. Lo usan millones de personas en iPhone, iPad, Mac, Apple TV, HomePod e incluso coches con CarPlay. Funciona a través de redes Wi-Fi convencionales o mediante Wi-Fi Direct, estableciendo conexiones directas entre dispositivos sin necesidad de un router.
Desde su introducción en 2004 como una función para reproducir música vía AirPort Express, AirPlay ha evolucionado para ser una pieza clave en el ecosistema Apple. Actualmente, está integrado no solo en dispositivos de consumo sino también en equipos de terceros como altavoces inteligentes y sistemas de entretenimiento para coches.
¿Qué es AirBorne?
AirBorne es el nombre asignado a un grupo de 23 vulnerabilidades descubiertas en el protocolo AirPlay y en su SDK (kit de desarrollo). De estas, 17 han sido registradas oficialmente como fallos de seguridad (CVE). Estas fallas permiten una amplia gama de ataques que van desde:
- Ejecución remota de código (RCE)
- Ataques de tipo “Man-in-the-Middle” (MitM)
- Denegación de servicio (DoS)
- Robo de información confidencial
Lo más preocupante es que muchas de estas vulnerabilidades pueden ser explotadas sin necesidad de que el usuario haga clic en nada, lo que las convierte en vulnerabilidades zero-click.
Ejemplos reales de ataque con AirBorne
Uno de los escenarios más graves descubiertos combina las vulnerabilidades CVE-2025-24252 y CVE-2025-24206, permitiendo a un atacante realizar un ataque RCE contra un
Mac con AirPlay habilitado, sin que el usuario intervenga en ningún momento. Basta con que ambos estén conectados a la misma red Wi-Fi (por ejemplo, en una cafetería o aeropuerto) y que el dispositivo tenga activado AirPlay para «cualquiera en la misma red».
Los investigadores consiguieron reemplazar la app Apple Music por una carga maliciosa en el dispositivo objetivo, demostrando lo crítico del problema.
Pero los Macs no son los únicos afectados. Los expertos también lograron ejecutar código remotamente en altavoces inteligentes compatibles con AirPlay y en sistemas de infoentretenimiento para coches (vía CarPlay), todo sin interacción del usuario. En el peor de los casos, el ataque puede replicarse automáticamente en otros dispositivos cercanos, generando un gusano de red autopropagable.
¿Qué dispositivos están en riesgo?
Están en riesgo cientos de millones de dispositivos, entre ellos:
- iPhone y iPad con AirPlay
- Ordenadores Mac
- Apple TV
- HomePod
- Altavoces inteligentes de terceros
- Coches con CarPlay
Cómo protegerte contra AirBorne
Para mitigar estos riesgos, Kaspersky recomienda las siguientes acciones inmediatas. Asegúrate de instalar las siguientes versiones (o superiores):
- iOS 18.4
- iPadOS 17.7.6 / 18.4
- macOS Sequoia 15.4, Sonoma 14.7.5, Ventura 13.7.5
- tvOS 18.4
- visionOS 2.4
Revisa la configuración de AirPlay
- Desactiva AirPlay cuando no lo necesites.
- Configura la opción «Permitir AirPlay para» como «Solo el usuario actual» para limitar posibles ataques.
Instala una solución de seguridad confiable
Contrario a la creencia popular, los dispositivos Apple también pueden ser vulnerables. Instalar software de seguridad adecuado es una capa adicional importante. El caso AirBorne es un recordatorio poderoso de que incluso tecnologías ampliamente adoptadas como AirPlay pueden convertirse en vectores críticos de ataque si no se auditan y actualizan con regularidad. La combinación de exposición inalámbrica, gran base de usuarios y facilidad de explotación convierte estas vulnerabilidades en una seria amenaza de ciberseguridad. Actualizar y endurecer las configuraciones es vital para evitar ser víctima de un ataque invisible, silencioso y altamente peligroso.