Exploit BootROM checkm8 para iPhones A12 y A13

El exploit usbliter8 afecta a millones de iPhones A12 y A13. Vulnerabilidad en SecureROM imborrable. No hay solución, solo reemplazar el dispositivo.

19 jun 2026 • 3 min read • Q2BSTUDIO Team

Vulnerabilidad en SecureROM de Apple no tiene parche

En el mundo de la ciberseguridad móvil, pocos hallazgos generan tanto revuelo como una vulnerabilidad en el BootROM de los procesadores Apple A12 y A13. Este tipo de fallo, que reside en la memoria de solo lectura grabada físicamente en el silicio durante la fabricación, es imposible de parchear mediante actualizaciones de software. Investigadores de seguridad han demostrado que, explotando una debilidad en el controlador USB Synopsys DesignWare integrado en estos chips, es posible tomar el control del SecureROM durante el modo DFU (Device Firmware Update). Dado que SecureROM es la base de la cadena de confianza de Apple, comprometerlo abre la puerta a ejecutar código no firmado, cargar imágenes personalizadas de iBoot y modificar el comportamiento del arranque sin restricciones. Sin embargo, esta vulnerabilidad no es trivial de aprovechar: requiere acceso físico al dispositivo y saber cómo colocarlo en modo DFU, lo que reduce drásticamente su potencial de explotación masiva. Para el usuario común, el riesgo inmediato es bajo, pero para investigadores y empresas que manejan datos sensibles, el panorama cambia por completo.

Desde una perspectiva técnica, este exploit revela una lección importante sobre la seguridad en hardware heredado. A diferencia de las vulnerabilidades de software, que suelen corregirse con parches periódicos, los fallos en BootROM persisten durante toda la vida útil del dispositivo. Los modelos afectados —iPhone XS, XR, 11, 11 Pro y equipos con A12 y A13— quedarán expuestos para siempre, a menos que se sustituyan. Curiosamente, los chips A11 se salvan gracias a una implementación USB diferente, y los A14 en adelante ya han corregido la condición. Esto subraya la importancia de una estrategia de renovación tecnológica y de ciberseguridad proactiva que contemple no solo el software, sino también la obsolescencia del hardware.

Para empresas que gestionan flotas de dispositivos móviles o desarrollan soluciones críticas, este tipo de hallazgos refuerza la necesidad de contar con un enfoque integral de seguridad. Más allá de las vulnerabilidades conocidas, la capacidad de reaccionar y auditar el ecosistema es clave. En Q2BSTUDIO, como empresa de desarrollo de software y tecnología, entendemos que la protección no termina en el código: ofrecemos servicios de ciberseguridad que incluyen análisis de riesgos, pruebas de penetración y asesoramiento en arquitecturas seguras. Además, acompañamos a nuestros clientes en la adopción de aplicaciones a medida y software a medida que integren controles de seguridad desde el diseño. La inteligencia artificial también juega un papel creciente en la detección temprana de amenazas; nuestras soluciones de ia para empresas y agentes IA permiten automatizar la monitorización de entornos complejos. Del mismo modo, gestionamos la infraestructura subyacente con servicios cloud aws y azure y ofrecemos servicios inteligencia de negocio con herramientas como power bi para visualizar indicadores de seguridad y rendimiento.

El exploit BootROM de los A12 y A13 no solo es un recordatorio de que la seguridad en hardware sigue siendo un desafío permanente, sino también una oportunidad para reflexionar sobre la gestión de ciclos de vida tecnológicos. Mientras los fabricantes avanzan cerrando puertas, los dispositivos antiguos continúan siendo un vector de riesgo. La recomendación más práctica para mitigar esta amenaza es, como señalan los investigadores, reemplazar los equipos afectados. Sin embargo, para organizaciones que buscan proteger su información sin reemplazar toda su flota de inmediato, contar con un partner tecnológico que ofrezca soluciones aplicaciones a medida y estrategias de segmentación y monitoreo puede marcar la diferencia. En Q2BSTUDIO ayudamos a construir esa capa adicional de defensa, combinando desarrollo seguro, inteligencia artificial aplicada y una visión global de la ciberseguridad empresarial.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat