Tres vulnerabilidades en AirDrop permiten que un atacante bloquee a distancia funciones de tu iPhone o Mac, dejando inutilizables AirPlay, Handoff o Continuity Camera mientras dura el ataque. Lo han descubierto investigadores de seguridad y no es un fallo único: son tres agujeros distintos que acaban igual, con el servicio caído.Los detalles los recoge 9to5Mac a partir del trabajo del investigador Arash Ebrahim, que ha seguido la divulgación responsable y ha retenido los pormenores hasta que Apple y Google pudieran corregirlos. Apple ya ha tapado uno con una actualización y le ha asignado un CVE, pero sigue trabajando en los otros dos, que de momento no tienen solución.Un ataque sencillo que no necesita permiso iPhone 17 Pro MaxLo inquietante no es la sofisticación, sino lo poco que hace falta. Un atacante por proximidad solo necesita un portátil con Wi‑Fi y situarse en el radio de acción, que suele rondar los 10 a 30 metros. No hay que emparejar nada, ni intercambiar contactos, ni compartir red con la víctima.El riesgo crece cuando el dispositivo está configurado para recibir de "Todo el mundo", una opción que muchos dejan activada por comodidad. En ese modo las primeras fases del protocolo responden antes de que salte ningún aviso, de manera que el daemon procesa la petición del atacante sin que tú llegues a aprobar nada.La más simple de las tres nace de una llamada Swift fatalError en el código que enruta las peticiones web por ruta. Si la solicitud apunta a una ruta no reconocida, impacta en esa llamada y aborta el proceso entero. Basta una petición corta para tumbar a la vez AirDrop, AirPlay, Handoff, Universal Clipboard y Continuity Camera.Y si esa petición se envía en bucle cada pocos segundos, el servicio se queda caído mientras dure. En una prueba, todas las conexiones legítimas fallaban durante el ataque y volvían en cuanto paraba. La buena noticia es que no se pueden robar datos; la mala, que sí se inutilizan a distancia varios servicios de continuidad entre iPhone y Mac.Un problema de diseño, no solo de Apple El problema no es exclusivo de AppleEbrahim sostiene que estos fallos son difíciles de evitar del todo, y lo confirma que aparezcan en plataformas distintas pese a compartir muy poco código: también se han hallado parecidos en Quick Share de Android. No es el descuido de una empresa, sino algo de raíz en los protocolos de proximidad."No creo que el solapamiento sea exclusivo de Apple o Google", explica el investigador. "Refleja retos comunes de ingeniería en los protocolos basados en proximidad. Estos servicios se diseñan para ofrecer una experiencia fluida, lo que obliga a que daemons privilegiados procesen entradas complejas controladas por el atacante antes de la autenticación." De ahí, añade, una superficie de ataque enorme antes de autenticar.El estado de los parches sigue a medias. "Apple nos informó de que una de las vulnerabilidades de AirDrop se ha corregido en una actualización y se le ha asignado un CVE", señala Ebrahim. Ese aviso de seguridad todavía no es público, así que aún no hay detalles sobre la pieza ya cerrada.Los otros dos informes continúan bajo divulgación coordinada, sin CVE público asignado. Y el caso no llega aislado: se suma a un goteo de fallos corregidos en las últimas versiones del sistema, donde Apple lleva meses reforzando la seguridad de iOS en sandbox, desbordamientos y privacidad.Mientras tanto, la recomendación de siempre gana fuerza. La compañía suele reaccionar con parches acelerados cuando el agujero es serio, y de momento el mejor escudo pasa por mantener el sistema al día y revisar si necesitas tener AirDrop abierto para cualquiera.