Apple lanzó el 22 de abril de 2026 una actualización de emergencia fuera del ciclo normal, iOS 26.4.2, para corregir el CVE-2026-28950: un bug en el sistema de notificaciones que hacía que los mensajes marcados para borrar permanecieran guardados en el dispositivo, y que el FBI usó para recuperar mensajes de Signal de un iPhone incluso después de que la app había sido desinstalada.
En 30 segundos
- Apple parcheó el CVE-2026-28950 el 22 de abril de 2026 en iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8.
- El bug hacía que las notificaciones “borradas” de apps como Signal quedaran almacenadas en caché en el sistema operativo, no en la app.
- El FBI recuperó mensajes de Signal de un iPhone mediante análisis forense de ese caché, no rompiendo la encriptación de Signal.
- Signal no tuvo la falla: el problema era de iOS y su manejo del Notification Services framework.
- Si tenés un iPhone y no actualizaste, actualizá ahora. El parche ya está disponible.
Apple es una empresa de tecnología estadounidense fundada en 1976 por Steve Jobs, Steve Wozniak y Ronald Wayne, que desarrolla y comercializa dispositivos de computación (iPhone, Mac, iPad) y sistemas operativos (iOS, macOS). Ofrece productos de hardware y software para usuarios finales a nivel mundial.
Qué pasó: el caso del FBI, Signal y el Apple bug
El CVE-2026-28950 es una vulnerabilidad en el Notification Services framework de iOS que permitía que notificaciones marcadas como eliminadas permanecieran almacenadas en el dispositivo sin que el usuario lo supiera. El caso salió a la luz cuando se conocieron notas de un juicio vinculado al centro de detención de ICE en Prairieland: los soportadores de los acusados publicaron detalles de cómo el FBI recuperó mensajes de Signal de un iPhone aunque la app ya no estaba instalada.
Lo que llama la atención no es que Signal haya sido comprometido, sino el vector: el FBI no rompió la encriptación end-to-end. Accedió al caché de notificaciones de iOS, donde los mensajes vivían en texto plano (o casi) porque el sistema operativo los necesitaba para mostrar vistas previas en pantalla.
Apple publicó el parche de emergencia el mismo 22 de abril de 2026, sin esperar el ciclo habitual de actualizaciones de seguridad. Eso solo pasa cuando el problema es serio.
El bug técnico: CVE-2026-28950 explicado sin vueltas
Cuando una notificación push llega a tu iPhone, el sistema tiene que mostrarla en pantalla. Para eso, iOS descifra el contenido del mensaje localmente y lo guarda en un caché temporal del Notification Services framework. La lógica esperada es: mostrás la notificación, el usuario la descarta, iOS la borra de ese caché.
El bug hacía que ese “borrar” no fuera real. Las notificaciones marcadas para eliminación persistían en el almacenamiento del dispositivo. ¿Cuánto tiempo? Apple no lo dijo (lo cual es un detalle molesto). Lo que sí confirmó según el boletín de seguridad oficial es que el fallo existía y que lo resolvieron con “redacción de datos mejorada”.
El componente afectado es el Notification Services framework, presente en todas las versiones modernas de iOS e iPadOS. Las versiones con el parche son: Relacionado: control de acceso en servicios tech.
- iOS 26.4.2
- iPadOS 26.4.2
- iOS 18.7.8
- iPadOS 18.7.8
Si estás en cualquier versión anterior a esas, el caché de notificaciones de tu dispositivo pudo haber estado guardando datos que vos creías borrados.
Cómo el FBI accedía a los mensajes de Signal
El flujo es así: alguien te manda un mensaje por Signal. Signal lo recibe encriptado, lo descifra localmente, y le pasa el contenido a iOS para que lo muestre como notificación en pantalla (esa vista previa que ves en la pantalla bloqueada). iOS toma ese texto, lo guarda en su caché de notificaciones para poder mostrarlo.
Después, el usuario borra el mensaje dentro de Signal. Signal borra su copia. Pero iOS tenía la suya propia en el Notification Services framework, y gracias al bug, esa copia no se iba.
Desinstalás Signal. La base de datos encriptada de Signal se va del dispositivo. Pero el caché de notificaciones de iOS queda. El FBI, con acceso físico al dispositivo y herramientas de análisis forense, extrae ese caché y recupera el contenido de los mensajes.
Limitación importante: según reportes del caso, solo eran recuperables los mensajes recibidos (no los enviados), y solo aquellos que habían generado una notificación push. Los mensajes leídos sin notificación, o los de conversaciones con notificaciones desactivadas, no quedaban en ese caché.
La diferencia clave: no fue un fallo de Signal
Acá viene lo bueno: la encriptación end-to-end de Signal funcionó perfectamente. Nadie interceptó los mensajes en tránsito, nadie accedió a los servidores de Signal, nadie rompió el cifrado. Signal hace lo que dice que hace.
El problema era una capa completamente distinta: el sistema operativo que corre por debajo. iOS tiene su propio ciclo de vida para las notificaciones, independiente de lo que haga cada app. Una app puede borrar sus datos, puede limpiarse entera, pero no tiene control total sobre lo que iOS hace con las notificaciones que ya procesó. Ya lo cubrimos antes en infraestructura de procesamiento Apple.
Signal publicó un agradecimiento a Apple por resolver el problema (señal de que ellos tampoco tenían manera de solucionarlo desde su lado). El bug era de iOS, el parche tenía que venir de Apple, y llegó.
Eso sí: el incidente muestra algo que muchos usuarios dan por sentado y no debería darse: la privacidad de una app encriptada depende también de la privacidad del sistema operativo que la corre. Si iOS guarda copias de tus mensajes aunque vos los borres, la encriptación de Signal no te protege de eso.
Versiones afectadas y dispositivos vulnerables
| Sistema operativo | Versión vulnerable | Versión con parche |
|---|---|---|
| iOS | Anterior a 26.4.2 / 18.7.8 | iOS 26.4.2 o iOS 18.7.8 |
| iPadOS | Anterior a 26.4.2 / 18.7.8 | iPadOS 26.4.2 o iPadOS 18.7.8 |
| iPhone 11 en adelante | Afectado | Actualizar a iOS 26.4.2 |
| iPad Pro 3ª generación o posterior | Afectado | Actualizar a iPadOS 26.4.2 |
| Dispositivos más viejos (iPhone XS, etc.) | Afectado (rama 18.x) | Actualizar a iOS 18.7.8 |
Cualquier iPhone o iPad con una versión de iOS/iPadOS anterior al parche del 22 de abril de 2026 pudo haber acumulado datos de notificaciones que el usuario creía eliminados. No solo de Signal: el bug afecta al Notification Services framework entero, o sea cualquier app que envíe notificaciones push con contenido.
La corrección de Apple y por qué salió como emergencia
Apple publicó iOS 26.4.2 e iOS 18.7.8 fuera del ciclo normal de actualizaciones de seguridad. Eso es una señal clara: cuando Apple hace eso, es porque o el fallo es grave, o ya hubo explotación activa, o hay presión externa para moverse rápido.
La empresa no confirmó explotación activa en este caso. Pero el contexto del juicio, con notas de tribunal circulando en medios, hace difícil creer que el timing fue coincidencia.
Según Help Net Security, la solución técnica fue una “redacción de datos mejorada”: iOS ahora borra de manera más robusta los datos de notificación cuando se marcan para eliminación. No hay más detalles técnicos públicos sobre el mecanismo exacto, lo cual es habitual en Apple (cuentagotas de información hasta que el parche está instalado en la mayor parte de los dispositivos).
¿Alguien verificó de forma independiente que el parche cierra el problema? Todavía no hay análisis forense público post-parche que lo confirme, pero el vector de ataque descripto queda sin sentido si iOS efectivamente elimina los datos al marcarlos. Para más detalles técnicos, mirá herramientas modernas de generación IA.
Implicaciones de privacidad más allá de este caso
Ponele que usás Signal porque tu trabajo requiere confidencialidad real. Abogado, periodista, activista, lo que sea. Instalás Signal, activás mensajes que se autodestruyen, borrás conversaciones. Y asumís que eso alcanza.
Este caso muestra que no siempre alcanza. El sistema operativo que corre por debajo de tu app puede guardar copias de datos que vos creés borrados, y vos no tenés visibilidad sobre eso. La capa de privacidad de una app es tan fuerte como la capa del OS que la hospeda.
Los metadatos son el problema de fondo. El contenido del mensaje es una cosa; cuándo llegó, de qué número, qué tan largo era, eso es otra. Incluso si el texto estuviera ofuscado, los metadatos de notificación pueden revelar mucho sobre con quién hablás y cuándo. El caché de iOS guardaba más que solo el texto del mensaje.
Para usuarios comunes el riesgo práctico es bajo: necesitás que alguien tenga acceso físico a tu dispositivo desbloqueado y herramientas forenses. Para gente en situaciones de riesgo real, la lección es que la seguridad de dispositivo (PIN fuerte, cifrado de disco activado, actualizaciones al día) es tan importante como elegir la app correcta.
Confirmado y no confirmado
Qué está confirmado
- El CVE-2026-28950 existe y fue parcheado por Apple el 22 de abril de 2026 en iOS 26.4.2 e iOS 18.7.8.
- El fallo afecta al Notification Services framework y hacía que notificaciones borradas persistieran en el dispositivo.
- El FBI recuperó mensajes de Signal de un iPhone a través de ese caché, según notas de un juicio que circularon públicamente.
- Signal publicó un agradecimiento a Apple por el parche, confirmando que el problema era del OS.
- La corrección fue lanzada fuera del ciclo normal de actualizaciones de seguridad de Apple.
Qué no está confirmado
- Cuánto tiempo exactamente persistían los datos de notificación en el dispositivo antes del parche.
- Si el fallo fue explotado activamente fuera del caso judicial conocido.
- El mecanismo técnico exacto de la corrección de Apple (“redacción de datos mejorada” no dice mucho).
- Si el parche es efectivo en todos los escenarios o si quedan vectores similares sin cerrar.
Errores comunes sobre este caso
Error 1: “Esto significa que Signal no es seguro”
Signal funcionó correctamente. La encriptación end-to-end no fue comprometida. El problema era iOS guardando datos fuera del control de Signal. Es como decir que una caja fuerte no es segura porque el edificio donde está tiene una puerta trasera.
Error 2: “Con actualizar la app de Signal alcanza”
No. El fallo era del sistema operativo, no de Signal. Tenés que actualizar iOS o iPadOS al 26.4.2 (o al 18.7.8 si tu dispositivo no soporta la rama 26). Actualizar la app de Signal no cambia nada en este caso. Complementá con plataformas de automatización sin código.
Error 3: “Solo afecta a gente que ya borró los mensajes”
Cualquier notificación push recibida y luego “borrada” podía quedar almacenada. No hace falta haber borrado mensajes explícitamente; el simple ciclo de recibir notificación y que desaparezca de la pantalla bloqueada ya podía dejar datos en el caché. Si usás cualquier app de mensajería en iOS, el fallo te afectaba.
Preguntas Frecuentes
¿Cómo pudo el FBI leer mensajes de Signal si los eliminé?
El FBI no rompió la encriptación de Signal. Accedió al caché de notificaciones de iOS, donde el sistema operativo guardaba copias de los mensajes para mostrar vistas previas en pantalla. Ese caché persistía aunque el usuario borrara los mensajes dentro de Signal o incluso desinstalara la app. El CVE-2026-28950, ya parcheado, era el bug que permitía esa persistencia.
¿Qué es el CVE-2026-28950 y me afecta?
Es una vulnerabilidad en el Notification Services framework de iOS e iPadOS que hacía que las notificaciones marcadas para eliminación permanecieran almacenadas en el dispositivo. Te afecta si tenés un iPhone o iPad con iOS/iPadOS anterior a la versión 26.4.2 o 18.7.8. Apple publicó el parche el 22 de abril de 2026 y está disponible en Ajustes > General > Actualización de software.
¿Necesito actualizar a iOS 26.4.2 ahora?
Sí. Si tu dispositivo soporta iOS 26, actualizá a 26.4.2. Si es un dispositivo más viejo que no recibe iOS 26, actualizá a iOS 18.7.8. Ambas versiones incluyen el parche para el CVE-2026-28950. El riesgo práctico para un usuario común requiere acceso físico al dispositivo, pero sin el parche el vector existe.
¿Signal es realmente privado si Apple guarda las notificaciones?
La encriptación de Signal es sólida y no fue comprometida en este caso. El problema era que iOS, como capa debajo de Signal, guardaba datos sin que Signal pudiera controlarlo. Con el parche del 22 de abril de 2026 ese vector está cerrado. Para privacidad real, la app encriptada más el sistema operativo actualizado más el cifrado de disco del dispositivo activado son los tres pilares.
¿Este bug afecta solo a Signal o a todas las apps de mensajería?
A todas las apps que usen notificaciones push en iOS. Signal fue el caso más resonante por el contexto judicial, pero WhatsApp, Telegram, o cualquier otra app que muestre vistas previas de mensajes en notificaciones estaba sujeta al mismo problema. El fallo era del Notification Services framework de iOS, no de una app específica.
Conclusión
El Apple bug Signal FBI que derivó en el CVE-2026-28950 y el parche de emergencia del 22 de abril de 2026 no es una historia sobre Signal fallando. Es una historia sobre privacidad en capas: podés tener la app más segura del mundo y seguir siendo vulnerable si el OS que corre debajo tiene un agujero.
Apple lo cerró rápido una vez que el caso llegó a los tribunales y a los medios. Cuánto tiempo existió el bug antes de eso, y en cuántos casos más fue explotado, son preguntas que Apple no respondió. Tomalo con pinzas: “mejorada redacción de datos” es la descripción técnica más vaga posible para un parche de seguridad.
Lo inmediato: actualizá a iOS 26.4.2 o iOS 18.7.8 ahora. Lo estructural: asumí que la privacidad de tus comunicaciones depende del eslabón más débil de toda la cadena, no solo de la app que elegiste.
Fuentes
- BleepingComputer – Apple fixes iOS bug that retained deleted notification data (boletín oficial de Apple incluido)
- Help Net Security – CVE-2026-28950: iPhone vulnerability, notifications y Signal
- CyberSecurityNews – Apple fixes notification privacy flaw
- Teknofilo – Cómo el FBI extrajo mensajes de Signal de un iPhone
- The Hacker News – Apple patches iOS flaw that stored notification data