En este documento, se describe el contenido de seguridad de watchOS 26.4.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Entrada publicada el 24 de marzo de 2026
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Un atacante con una posición de red privilegiada podía interceptar el tráfico de red.
Descripción: Para solucionar un problema de autenticación, se mejoró la administración de estados.
CVE-2026-28865: Héloïse Gollier y Mathy Vanhoef (KU Leuven)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-28879: Justin Cohen de Google
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app
Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.
CVE-2026-28822: Jex Amro
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2026-20690: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Un usuario con una posición de red privilegiada podía provocar una denegación de servicio.
Descripción: Se mejoró la validación de entradas para solucionar un problema de falta de referencia de puntero nulo.
CVE-2026-28886: Etienne Charron (Renault) y Victoria Martini (Renault)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario
Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.
CVE-2026-28878: Zhongcheng Li de IES Red Team
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Había un problema en curl que podía ocasionar que se enviara accidentalmente información confidencial por medio de una conexión incorrecta.
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-14524
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se abordó una filtración de información con validación adicional.
CVE-2026-28870: XiguaSec
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-64505
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Una app podía divulgar la memoria del kernel
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2026-28868: 이동하 (Lee Dong Ha de BoB 0xB6)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Una app podía filtrar el estado confidencial del kernel.
Descripción: Para solucionar este problema, se mejoró el proceso de autenticación.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o dañar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-20698: DARKNAVY (@DarkNavyOrg)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-20687: Johnny Franks (@zeroxjf)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que una app pueda enumerar las aplicaciones instaladas por el usuario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2026-28882: Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que una app pueda registrar la huella digital del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2026-28863: Gongyu Ma (@Mezone0)
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Un atacante local podría obtener acceso a los elementos del llavero de un usuario
Descripción: Para solucionar este problema, se mejoró la comprobación de permisos.
CVE-2026-28864: Alex Radocea
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Es posible que un atacante con acceso físico a un dispositivo bloqueado pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se mejoró la autenticación.
CVE-2026-28856: Un investigador anónimo
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Una app podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de desbordamiento de pila mejorando la validación de entradas.
CVE-2026-28852: Caspian Tarafdar
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Para solucionar este problema, se mejoró la administración del estado.
WebKit Bugzilla: 304951
CVE-2026-20665: webb
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Un sitio web creado con fines malintencionados podía procesar contenido web restringido fuera de zonas protegidas.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 308248
CVE-2026-28859: greenbynox, Arni Hardarson
Disponible para: Apple Watch Series 6 y versiones posteriores
Impacto: Una página web creada con fines malintencionados podía tomar la huella digital del usuario.
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
WebKit Bugzilla: 306827
CVE-2026-20691: Gongyu Ma (@Mezone0)
Nos gustaría darles las gracias a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari y Omid Rezaii por su ayuda.
Nos gustaría darle las gracias a Hamid Mahmoud por su ayuda.
Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.
Nos gustaría darles las gracias a Suresh Sundaram y Willard Jansen por su ayuda.
Nos gustaría darle las gracias a Peter Malone por su ayuda.
Nos gustaría darle las gracias a Salemdomain por su ayuda.
Nos gustaría darle las gracias a Jian Lee (@speedyfriend433) por su ayuda.
Nos gustaría darle las gracias a Jian Lee (@speedyfriend433) por su ayuda.
Nos gustaría darles las gracias a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de Fuzzinglabs, Patrick Ventuzelo de Fuzzinglabs, Robert Tran y Suresh Sundaram por su ayuda.
Nos gustaría darles las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs, y Arni Hardarson por su ayuda.
Nos gustaría darle las gracias a Vitaly Simonovich por su ayuda.
Nos gustaría darle las gracias a Ilias Morad (@A2nkF_) por su ayuda.
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
Nos gustaría darle las gracias a JZ por su ayuda.
Nos gustaría darle las gracias a Gongyu Ma (@Mezone0) por su ayuda.
Nos gustaría darle las gracias a Dave G. por su ayuda.
Nos gustaría darles las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo por su ayuda.
Nos gustaría darles las gracias a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.
Nos gustaría darles las gracias a Waleed Barakat (@WilDN00B) y Paul Montgomery (@nullevent) por su ayuda.
Nos gustaría darles las gracias a Anand Mallaya, consultora de tecnología, Anand Mallaya and Co., Harsh Kirdolia y Hrishikesh Parmar del equipo de trabajadores autónomos por su ayuda.
Nos gustaría darles las gracias a Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group y Zack Tickman por su ayuda.
Nos gustaría darle las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.
Nos gustaría darles las gracias a AEC, Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento de la Armada de los Estados Unidos), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 y incredincomp por su ayuda.
Nos gustaría darle las gracias a Zhongcheng Li de IES Red Team de ByteDance por su ayuda.
Nos gustaría darles las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.
Nos gustaría darle las gracias a Vamshi Paili por su ayuda.
Nos gustaría darle las gracias a Joseph Semaan por su ayuda.
Nos gustaría darles las gracias a Kun Peeks (@SwayZGl1tZyyy) y un investigador anónimo por su ayuda.
Nos gustaría darle las gracias a Alex Radocea de Supernetworks, Inc por su ayuda.
Nos gustaría darles las gracias a Marcel Voß, Mitul Pranjay y Serok Çelik por su ayuda.