El mundo tecnológico experimenta constantemente avances sorprendentes, pero también enfrenta desafíos relacionados con la seguridad que pueden poner en jaque a millones de usuarios. Un ejemplo reciente y contundente es el descubrimiento de una serie de vulnerabilidades críticas en el protocolo AirPlay de Apple, bautizadas como "AirBorne" por el equipo de investigación de Oligo Security. Estas vulnerabilidades no solo afectan a dispositivos Apple de uso común, sino también a una amplia gama de equipos de terceros que integran el kit de desarrollo de software (SDK) de AirPlay. La gravedad de AirBorne radica en su capacidad para permitir la ejecución remota de código sin requerir ningún tipo de interacción por parte del usuario, lo que la convierte en una amenaza «wormable» capaz de propagarse automáticamente a través de redes. Esta situación abre un escenario inquietante donde los atacantes podrían comprometer dispositivos en redes locales, realizar espionaje, desplegar ransomware y ejecutar ataques de cadena de suministro con consecuencias potencialmente devastadoras.
El protocolo AirPlay es esencial para una experiencia fluida entre dispositivos de Apple como Mac, iPhone, iPad, Apple TV y otros, permitiendo la transmisión inalámbrica de audio, video y otros contenidos multimedia. Además, numerosos fabricantes de dispositivos de audio y automóviles incorporan el SDK de AirPlay, ampliando exponencialmente la superficie de ataque. Según datos oficiales, hay aproximadamente 2.35 mil millones de dispositivos Apple activos en todo el mundo, junto con decenas de millones de dispositivos de terceros compatibles con AirPlay y más de 800 modelos de vehículos equipados con CarPlay, lo que subraya la magnitud potencial del impacto. Entre las vulnerabilidades destacadas, CVE-2025-24252 y CVE-2025-24132 son particularmente preocupantes.
La primera es una vulnerabilidad de tipo «uso después de liberación» (Use After Free – UAF) que puede ser explotada para ejecutar código arbitrario en dispositivos MacOS sin que el usuario realice ninguna acción. Cuando se combina con otra vulnerabilidad que permite evitar la necesidad de interacción del usuario (CVE-2025-24206), facilita que el atacante pueda tomar control total del dispositivo y que esta infección se propague a otros equipos en la misma red, configurando un escenario de propagación tipo gusano (worm). De forma similar, CVE-2025-24132, un desbordamiento de buffer basado en la pila (stack-based buffer overflow), afecta a los dispositivos que utilizan el SDK de AirPlay, incluyendo altavoces y receptores de terceros, así como la plataforma CarPlay. Esta vulnerabilidad permite ejecuciones remotas de código sin interacción del usuario, facilitando ataques desde la simple reproducción de contenido inesperado hasta la escucha clandestina a través de micrófonos integrados, lo que representa un grave riesgo para la privacidad. Las condiciones de ataque varían según el entorno y el dispositivo.
Por ejemplo, en dispositivos MacOS con el receptor AirPlay activado en la configuración predeterminada que permite conexiones de “Todos en la misma red” o “Cualquiera”, basta para que un atacante en la misma red ejecute comandos maliciosos que tomen control completo. Esta situación es especialmente riesgosa en redes públicas o corporativas donde dispositivos infectados pueden actuar como vectores para comprometer múltiples equipos. En el caso de CarPlay, la vulnerabilidad permite ataques a través de la conexión WiFi del vehículo, Bluetooth y USB. Un atacante cercano al vehículo podría aprovechar contraseñas por defecto o la necesidad de confirmar un PIN para acceder y ejecutar código malicioso, con consecuencias que van desde distracciones visuales y auditivas al conductor hasta la obtención de datos sensibles como la ubicación del vehículo o conversaciones privadas. Otra faceta importante de AirBorne es la posibilidad de que los atacantes eludan las listas de control de acceso (ACL) y los mecanismos de interacción del usuario que normalmente protegen el protocolo AirPlay.
Varias vulnerabilidades permiten que comandos que deberían limitarse solo a usuarios autorizados sean ejecutados sin autenticación adecuada, facilitando la ejecución remota de código con un solo clic e incluso en algunos casos sin clic alguno. Además de los ataques de ejecución remota, AirBorne desencadena otros riesgos como la posibilidad de leer archivos arbitrarios en el sistema local, lo que podría exponer datos sensibles o credenciales, así como la divulgación de información confidencial a través de logs y otros registros accesibles dentro de la red. También se documentan posibilidades de ataques de denegación de servicio (DoS) que podrían interrumpir gravemente la funcionalidad del dispositivo afectado. El ataque técnico se basa en cómo AirPlay maneja las solicitudes y comandos a través del puerto 7000, utilizando un protocolo propietario que mezcla aspectos de HTTP y RTSP, y donde los datos se transmiten normalmente en formato plist, un tipo de lista de propiedades estructurada ampliamente empleada en el ecosistema Apple. Errores en el manejo de estos plist, como la falta de comprobación del tipo de dato recibido, ocasionan vulnerabilidades como las de confusión de tipos (Type Confusion) que pueden desencadenar bloqueos y fallos de seguridad críticos.
Desde el descubrimiento, Apple ha trabajado conjuntamente con el equipo de Oligo Security para revisar, mitigar y parchear estas vulnerabilidades en las diversas plataformas afectadas, desplegando actualizaciones que recomiendan encarecidamente ser instaladas inmediatamente para evitar riesgos. Sin embargo, la realidad es que debido al enorme ecosistema Apple y la gran cantidad de dispositivos de terceros implicados, la adopción total de estas actualizaciones puede ser desafiante, aumentando la ventana de exposición para los usuarios. Para protegerse ante la amenaza de AirBorne, es fundamental que los usuarios y organizaciones desactivaran el receptor AirPlay en dispositivos que no lo utilicen regularmente. Adicionalmente, es aconsejable restringir el acceso a AirPlay mediante reglas de firewall que limiten el tráfico al puerto 7000 solo a dispositivos confiables, reduciendo así la superficie de ataque. Configurar AirPlay para permitir el acceso únicamente al “Usuario actual” también puede reducir riesgos, aunque no elimina todas las posibles amenazas.
La naturaleza wormable de algunas de estas vulnerabilidades implica que un solo dispositivo comprometido puede iniciar una cadena de infecciones que se extienda a múltiples dispositivos en la red, creando un panorama que recuerda a ataques masivos de malware. La combinación de la conectividad inalámbrica con la falta de interacción requerida para ejecutar el ataque hace que AirBorne sea especialmente peligroso. En el contexto actual, donde la utilización de dispositivos inteligentes y conectados a redes es imprescindible para la vida diaria profesional y personal, la seguridad de protocolos como AirPlay adquiere una relevancia máxima. Este caso es un recordatorio contundente de que incluso las tecnologías integradas en los ecosistemas más vigilados pueden presentar grietas importantes que, si no se abordan, pueden ser aprovechadas para acciones maliciosas sofisticadas. El trabajo de investigación de Oligo Security destaca no solo la importancia de la búsqueda proactiva de vulnerabilidades sino también la necesidad de una colaboración fluida entre investigadores y fabricantes para poder reaccionar rápidamente a las amenazas emergentes.
La transparencia en la divulgación responsable y la agilidad para distribuir parches resultan claves para minimizar el daño. En resumen, AirBorne representa una amenaza sin precedentes para la seguridad de dispositivos Apple y del creciente ecosistema de productos AirPlay. Los usuarios y las organizaciones deben mantenerse atentos y priorizar la actualización inmediata de sus dispositivos, aplicar configuraciones seguras y restringir el acceso para minimizar el riesgo. En un mundo cada vez más interconectado, proteger los sistemas que permiten la transmisión y comunicación inalámbrica multimedia es tan crítico como asegurar cualquier otro componente de la infraestructura tecnológica. La historia de AirBorne es una advertencia clara: la innovación debe ir siempre acompañada de un enfoque riguroso en seguridad, y estar preparados para actuar rápido cuando surjan vulnerabilidades de esta magnitud.
Con la información adecuada y las medidas preventivas correctas, es posible mitigar las amenazas y proteger la privacidad y la integridad de los datos en nuestros dispositivos cotidianos.
