El resumen corto: las tres mejoras de seguridad de mayor impacto que la mayoría de los usuarios de iPhone no han realizado son (1) pasar de la autenticación de dos factores por SMS a una app de autenticación o passkeys, (2) activar la Protección de datos avanzada de iCloud para que tus copias de seguridad estén cifradas de extremo a extremo, y (3) añadir protección de amenazas a nivel de red para bloquear dominios de phishing antes de que se carguen. Todo lo demás en esta guía también importa, pero esas tres abordan los vectores de ataque que realmente tienen éxito contra usuarios de iPhone en 2026: robo de credenciales, acceso a copias de seguridad de iCloud y enlaces de phishing.
Medidas de seguridad clasificadas: impacto, amenaza cubierta y dificultad de configuración
| Medida de seguridad | Contra qué protege | Dificultad de configuración | Impacto |
|---|---|---|---|
| 2FA por app / passkeys | Ataques de SIM swap, interceptación de SMS, relleno de credenciales | Moderada (10-20 min para cuentas clave) | Crítico |
| Protección de datos avanzada de iCloud | Acceso a datos de iCloud por parte de Apple, autoridades o atacantes con tu Apple ID | Fácil (un interruptor, configuración de clave de recuperación) | Alto |
| Protección de amenazas a nivel de red | Dominios de phishing, C2 de malware, WiFi hostil, phishing de día cero | Fácil (instala la app, pulsa conectar) | Alto |
| Auditoría de permisos de apps | Acceso excesivo de apps a datos, stalkerware, recopilación de brokers de datos | Fácil (revisión de 5 minutos) | Medio-Alto |
| Revisión de sesiones del dispositivo | Acceso no autorizado a cuentas, sesiones activas olvidadas | Fácil (revisión de 5 minutos) | Medio |
| Protección del dispositivo robado | Robo físico con código de acceso observado | Fácil (un interruptor) | Medio |
| Modo de aislamiento | Exploits de día cero, software espía patrocinado por estados | Fácil (un interruptor, importantes concesiones en la experiencia de usuario) | Crítico (para personas atacadas de forma dirigida) / Bajo (para la mayoría de usuarios) |
| Actualizaciones automáticas activadas | Exploits conocidos, vulnerabilidades sin parchear | Trivial (un interruptor) | Crítico |
Veamos cada medida en detalle: qué hace, por qué importa y cómo configurarla exactamente.
Pasa de la autenticación de dos factores por SMS a apps de autenticación o passkeys
Este es el cambio de seguridad más importante que la mayoría de la gente no ha realizado. La autenticación de dos factores basada en SMS (donde recibes un mensaje de texto con un código de verificación) es vulnerable a ataques de SIM swap, interceptación de la red SS7 y ingeniería social contra el personal de atención al cliente de las operadoras. No son ataques teóricos — el Centro de Denuncias de Delitos en Internet del FBI documentó más de 68 millones de dólares en pérdidas por SIM swap solo en 2023, y la cifra ha seguido creciendo. Cuando un atacante porta tu número de teléfono a una SIM que controla, todos los códigos de 2FA por SMS le llegan a él en lugar de a ti. Tu correo electrónico, tu banco, las redes sociales — cualquier cuenta protegida únicamente por 2FA por SMS queda accesible.
Qué usar en su lugar: una app de autenticación genera contraseñas de un solo uso basadas en tiempo (TOTP) en tu dispositivo. Los códigos se generan localmente usando un secreto compartido establecido durante la configuración — sin SMS, sin operadora, sin SIM que suplantar. El autenticador integrado de Apple (Ajustes > Contraseñas, luego toca una cuenta > Configurar código de verificación) funciona bien y rellena los códigos automáticamente en Safari. Las opciones de terceros incluyen 1Password, Authy y Google Authenticator. Cualquiera de estas es notablemente más segura que los SMS.
Aún mejor — las passkeys: las passkeys son el estándar FIDO2/WebAuthn integrado en iOS 16+. Sustituyen tanto las contraseñas como los códigos de 2FA con un par de claves criptográficas almacenado en tu iCloud Keychain. Te autenticas con Face ID o Touch ID — sin contraseña que suplantar, sin código que interceptar. Los principales servicios (Google, Apple, Microsoft, GitHub, Amazon, PayPal) ya admiten passkeys. Cuando un servicio ofrezca compatibilidad con passkeys, úsalas — elimina toda la categoría de ataques de robo de credenciales. La documentación de passkeys de la FIDO Alliance incluye la lista completa de servicios compatibles.
Qué cuentas priorizar: empieza por tu correo electrónico (es la llave maestra — la mayoría de los restablecimientos de contraseña pasan por él), luego tu Apple ID, después las cuentas bancarias y financieras, y finalmente las redes sociales. Tu cuenta de correo es la más crítica porque comprometida le permite al atacante restablecer las contraseñas de todo lo demás. Si solo cambias una cuenta de 2FA por SMS a 2FA por app, que sea tu correo principal.
El PIN de la operadora: mientras cambias a 2FA por app, establece también un PIN sólido en tu cuenta de la operadora móvil. Esto no sustituye el cambio de 2FA, pero añade una capa de defensa contra la ingeniería social de SIM swap. Llama a tu operadora o usa su app para configurar un PIN o frase de contraseña que sea necesario para cualquier cambio en la cuenta, incluidos los SIM swap. No uses tu fecha de nacimiento ni los últimos cuatro dígitos de tu número de la Seguridad Social — son trivialmente predecibles.
Activa la Protección de datos avanzada de iCloud
Por defecto, las copias de seguridad de iCloud están cifradas en tránsito y en reposo, pero Apple posee las claves de cifrado. Esto significa que Apple puede (y ha sido obligada a hacerlo mediante orden judicial) descifrar tus copias de seguridad de iCloud para las fuerzas del orden. También significa que si un atacante obtiene acceso a tu Apple ID, puede descargar tu copia de seguridad de iCloud — incluidos tus mensajes, fotos, datos de salud e historial de Safari — desde la web.
Qué cambia la Protección de datos avanzada: cuando activas la Protección de datos avanzada (ADP), la mayoría de las categorías de datos de iCloud pasan a usar cifrado de extremo a extremo. Las claves de cifrado se almacenan únicamente en tus dispositivos de confianza — Apple ya no conserva una copia. Esto significa que Apple no puede descifrar tus datos, no puede proporcionarlos a las fuerzas del orden, y un atacante que comprometa tu Apple ID no puede acceder a los datos cifrados sin tener también uno de tus dispositivos de confianza. Las categorías protegidas incluyen: Copia de seguridad de iCloud, Fotos, Notas, Recordatorios, marcadores de Safari, Atajos de Siri, Notas de voz, pases de Wallet y iCloud Drive.
Lo que no está cubierto: el correo de iCloud, Contactos y Calendario siguen con cifrado estándar (no de extremo a extremo) porque necesitan interoperar con servidores de correo no Apple, CardDAV y protocolos CalDAV que requieren acceso del servidor a los datos. Esta es una limitación real — el contenido de tu correo electrónico no está cifrado de extremo a extremo aunque tengas ADP activada.
Cómo activarla: Ajustes > tu nombre > iCloud > Protección de datos avanzada > Activar. iOS te guiará para configurar una clave de recuperación o designar un contacto de recuperación. Este paso es crítico: como Apple ya no tiene tus claves, si pierdes todos tus dispositivos de confianza y no tienes tu clave de recuperación, tus datos serán permanentemente inaccesibles. Anota la clave de recuperación y guárdala en algún lugar físico y seguro (una caja fuerte, una caja de seguridad bancaria, un cajón cerrado con llave — no en una nota en tu teléfono ni en un correo a ti mismo).
Quién debería activarla: cualquier persona que almacene datos sensibles en iCloud y esté segura de que puede custodiar su clave de recuperación. La única razón para no activar ADP es si realmente te preocupa perder el acceso a tus propios datos — y el proceso de clave de recuperación existe precisamente para evitarlo. El beneficio de seguridad es sustancial: estás eliminando la capacidad de Apple de acceder a tus datos, lo que también elimina la capacidad de cualquier atacante de acceder a ellos a través de Apple.
Añade protección de amenazas a nivel de red
La mayoría de los ataques exitosos contra usuarios de iPhone no explotan vulnerabilidades de iOS — explotan al ser humano. Los enlaces de phishing llegan por SMS, correo electrónico, WhatsApp o redes sociales. El usuario toca el enlace, aterriza en una página de inicio de sesión falsa muy convincente e introduce sus credenciales. Fin de la partida. En 2026, las páginas de phishing generadas por IA son casi indistinguibles de las legítimas — el viejo consejo de «busca errores ortográficos y URLs raras» ya no es fiable.
Qué hace la protección a nivel de red: un filtro de amenazas basado en DNS o en VPN evalúa cada dominio al que tu dispositivo intenta conectarse. Cuando tocas un enlace de phishing, el filtro comprueba el dominio contra: (1) listas de bloqueo de dominios de phishing conocidos, (2) fuentes de inteligencia de amenazas de investigadores de seguridad, y (3) modelos de ML entrenados para identificar características de dominios de phishing recién registrados (registrador inusual, alojamiento en ASNs antibalas, patrones de nombres de dominio que imitan marcas legítimas). Si el dominio está marcado, la conexión se bloquea antes de que se cargue la página — nunca ves la página de inicio de sesión falsa y nunca tienes la oportunidad de introducir tus credenciales.
Por qué esto importa más allá de Safari: Safari tiene su propia comprobación integrada de navegación segura (Advertencia de sitio web fraudulento), que es buena pero limitada — comprueba contra la base de datos de Navegación Segura de Google, que tiene un retraso entre cuando un dominio de phishing se activa y cuando se añade a la base de datos. Las campañas de phishing usan cada vez más dominios que están activos solo 24-72 horas, luego rotan. La protección a nivel de red con detección basada en ML captura dominios que las listas de bloqueo estáticas aún no han indexado. Y de forma crucial, funciona fuera de Safari — los enlaces de phishing en iMessage, WhatsApp, Slack, apps de correo y redes sociales todos se resuelven a través de DNS antes de cargarse, por lo que el filtro los detecta independientemente de en qué app toques el enlace.
Cómo configurarla: instala una app de filtrado basada en VPN. Casper's Cloak combina el bloqueo a nivel DNS de amenazas conocidas con clasificación basada en IA de dominios de phishing de día cero, más cifrado de túnel WireGuard para protección en WiFi público. Alternativamente, NextDNS y Cloudflare Gateway ofrecen filtrado de amenazas solo DNS (sin el túnel VPN). El enfoque VPN proporciona tanto bloqueo de amenazas como cifrado de red; el enfoque solo DNS proporciona bloqueo de amenazas sin usar el espacio de la VPN. Para seguridad específicamente (no solo privacidad), el enfoque VPN es más sólido porque también protege contra redes WiFi hostiles.
Contra qué no protege: si navegas manualmente a un sitio legítimo, inicias sesión con tus credenciales reales y luego ese sitio sufre una brecha — la protección a nivel de red no puede ayudar con eso. Tampoco puede prevenir ataques de relleno de credenciales contra tus cuentas si tu contraseña quedó expuesta en una filtración de datos anterior. Para esa capa, necesitas contraseñas únicas y sólidas (usa un gestor de contraseñas) y 2FA. La protección a nivel de red es la capa de defensa más externa; la autenticación sólida es la más interna. Necesitas ambas.
Audita los permisos de las apps y comprueba sesiones desconocidas del dispositivo
La auditoría de permisos de apps es sencilla, rápida y detecta cosas que ninguna herramienta automatizada puede. Ve a Ajustes > Privacidad y seguridad y revisa cada categoría: Localización, Contactos, Calendarios, Fotos, Micrófono, Cámara, Bluetooth, Red local y Salud. Para cada app listada, pregúntate: ¿necesita esta app este permiso para una función que realmente uso? Un escáner de códigos QR no necesita tus contactos. Una app de recetas no necesita tu micrófono. Un juego no necesita tu ubicación. Revoca cualquier permiso que no tenga sentido.
El Informe de privacidad de apps: Ajustes > Privacidad y seguridad > Informe de privacidad de apps muestra qué apps accedieron a qué tipos de datos sensibles en los últimos 7 días, y qué dominios contactaron. Esta es tu evidencia de auditoría. Si una app de linterna accedió a tu ubicación 847 veces en la última semana, eso es una señal de alerta que vale la pena investigar — o la app está recopilando datos para publicidad, o está haciendo algo peor. El Informe de privacidad de apps no bloquea nada, pero te da la información para tomar decisiones de bloqueo.
Comprueba sesiones desconocidas del dispositivo: tus cuentas más críticas — Apple ID, Google, correo electrónico, banca — te permiten ver las sesiones activas (dispositivos actualmente conectados). Para el Apple ID: Ajustes > tu nombre > desplázate hacia abajo para ver todos los dispositivos. Cualquier dispositivo que no reconozcas debe eliminarse de inmediato (tócalo > Eliminar de la cuenta) y debes cambiar tu contraseña. Para Google: myaccount.google.com/device-activity. Para los principales proveedores de correo y bancos, consulta sus páginas de seguridad o gestión de sesiones. Una sesión activa desconocida es uno de los indicadores más sólidos de compromiso de cuenta — significa que otra persona se ha autenticado como tú y no ha cerrado sesión.
Con qué frecuencia hacerlo: una auditoría exhaustiva de permisos lleva unos 5 minutos y debería hacerse cada 2-3 meses. Las comprobaciones de sesiones del dispositivo deberían hacerse mensualmente, o de inmediato si notas algo sospechoso (códigos de 2FA inesperados, correos de restablecimiento de contraseña que no solicitaste, actividad de la cuenta desde ubicaciones desconocidas). Cubrimos el marco de diagnóstico completo en nuestra guía sobre cómo saber si tu teléfono ha sido hackeado.
Protección del dispositivo robado y seguridad física
La Protección del dispositivo robado, introducida en iOS 17.3, aborda un ataque específico: un ladrón te observa introducir tu código de acceso (fisgonear en un bar, en el transporte público, en una cafetería) y luego roba tu teléfono. Sin Protección del dispositivo robado, el ladrón puede usar ese código para: cambiar tu contraseña de Apple ID, desactivar Buscar mi iPhone, acceder a tus contraseñas en el Llavero y bloquearte de tu propia cuenta. Con Protección del dispositivo robado activada, las operaciones sensibles requieren Face ID o Touch ID (el código de acceso por sí solo no es suficiente) y algunas operaciones tienen un retraso obligatorio de una hora cuando se realizan fuera de ubicaciones conocidas.
Cómo activarla: Ajustes > Face ID y código > introduce tu código > Protección del dispositivo robado > activa el interruptor. Elige entre «Siempre» (los retrasos se aplican en todas partes) o «Fuera de ubicaciones conocidas» (los retrasos solo se aplican fuera de casa y del trabajo). La opción «Fuera de ubicaciones conocidas» es más cómoda — no añade fricción en tu vida diaria, pero activa las medidas de seguridad en los escenarios donde el robo es más probable.
El código de acceso en sí importa: si tu código de acceso es 000000 o 123456, Protección del dispositivo robado ayuda, pero sigues trabajando sobre una base débil. Cambia a un código numérico de 6 dígitos como mínimo, o un código alfanumérico para mayor seguridad. Como desbloqueas con Face ID el 99% de las veces, la incomodidad de un código más largo es mínima — solo lo escribes después de reiniciar, después de 48 horas sin desbloquear, o cuando Face ID falla repetidamente. Ve a Ajustes > Face ID y código > Cambiar código > Opciones de código > Código alfanumérico personalizado.
Modo de aislamiento: cuando el modelo de amenaza lo justifica
El Modo de aislamiento reduce drásticamente la superficie de ataque de tu iPhone desactivando funciones que los exploits sofisticados tienen como objetivo. La compilación JIT en Safari queda desactivada (lo que rompe algunas aplicaciones web complejas pero elimina una clase importante de exploits), la mayoría de los tipos de archivos adjuntos en mensajes quedan bloqueados, las llamadas de FaceTime de contactos desconocidos quedan bloqueadas, las conexiones cableadas requieren que el dispositivo esté desbloqueado, y no se pueden instalar perfiles de configuración.
Quién lo necesita: periodistas que cubren gobiernos autoritarios, activistas de derechos humanos, disidentes políticos, y cualquier persona con razones fundadas para creer que es objetivo de vigilancia patrocinada por un estado o de software espía mercenario (Pegasus, Predator, Hermit). Estas personas se enfrentan a actores de amenazas con presupuesto para comprar y desplegar cadenas de exploits de día cero. El Modo de aislamiento aumenta el coste técnico de atacar sus dispositivos, lo que puede llevar al atacante a buscar un objetivo más fácil o a usar un exploit más caro (y por tanto más raro).
Quién no lo necesita: la gran mayoría de usuarios de iPhone. Los ataques que el Modo de aislamiento defiende cuestan entre seis y siete cifras por objetivo. Los consumidores comunes no son el objetivo de estas herramientas — la economía no lo justifica. Si tu modelo de amenaza es el phishing, el secuestro de cuentas, los SIM swap o el rastreo por brokers de datos, las otras medidas de esta guía abordan eso directamente. El Modo de aislamiento no ayuda con ninguna de ellas — aborda un nivel de amenaza fundamentalmente diferente.
Las concesiones son reales: algunos sitios web no funcionarán correctamente sin la compilación JIT (apps web complejas, algunos sitios bancarios, Google Docs puede ir más lento). El uso compartido de fotos en Mensajes es limitado. Algunas fuentes y funciones de PDF quedan desactivadas. Si lo pruebas y encuentras que la fricción diaria es aceptable para tu flujo de trabajo, no hay inconveniente en mantenerlo activado. Pero no lo actives pensando que te hace «más seguro» frente a amenazas comunes — no es así. Te hace más seguro frente a una categoría de ataques específica, poco frecuente y costosa.
La lista de verificación completa de refuerzo de seguridad
Aquí tienes todas las medidas de esta guía en orden de configuración. Cada paso se construye sobre el anterior. Todo el proceso lleva 30-45 minutos para la configuración inicial.
- Activa las actualizaciones automáticas. Ajustes > General > Actualización de software > Actualizaciones automáticas — activa todo. Esta es la base — todas las demás medidas de seguridad asumen que tu sistema operativo está actualizado.
- Pasa la 2FA a app de autenticación o passkeys. Empieza con tu correo electrónico, luego el Apple ID, luego la banca, luego las redes sociales. Usa Ajustes > Contraseñas para el autenticador integrado de Apple, o instala 1Password/Authy. Establece también un PIN de operadora.
- Activa la Protección de datos avanzada de iCloud. Ajustes > tu nombre > iCloud > Protección de datos avanzada. Anota tu clave de recuperación y guárdala físicamente. Esto cifra de extremo a extremo tus datos de iCloud.
- Instala protección de amenazas a nivel de red. Descarga Casper's Cloak o configura NextDNS. Activa el perfil de VPN. Esto bloquea dominios de phishing, infraestructura de malware y cifra tu tráfico en cualquier red.
- Audita los permisos de apps. Ajustes > Privacidad y seguridad — revisa Localización, Micrófono, Cámara, Contactos, Fotos. Revoca todo lo innecesario. Comprueba el Informe de privacidad de apps para las apps que contacten dominios de rastreo excesivos.
- Revisa las sesiones del dispositivo. Ajustes > tu nombre > desplázate hasta los dispositivos. Elimina cualquiera que no reconozcas. Comprueba las cuentas de Google, correo y banca para detectar sesiones activas desconocidas.
- Activa Protección del dispositivo robado. Ajustes > Face ID y código > Protección del dispositivo robado > activa el interruptor. Elige «Fuera de ubicaciones conocidas» para el mejor equilibrio entre comodidad y seguridad.
- Mejora tu código de acceso. Ajustes > Face ID y código > Cambiar código > Código alfanumérico personalizado. Como usas Face ID a diario, el código más largo solo importa en los casos excepcionales en que es necesario — y en esos casos, la solidez importa.
- Evalúa el Modo de aislamiento (si tu modelo de amenaza lo justifica). Ajustes > Privacidad y seguridad > Modo de aislamiento. Solo para personas que enfrentan amenazas dirigidas a nivel estatal.
Contra qué protege esta configuración — y contra qué no
Con todo lo anterior en su lugar, estás protegido contra: ataques de SIM swap (2FA basada en app), robo de copias de seguridad de iCloud (Protección de datos avanzada), ataques mediante enlaces de phishing (bloqueo de amenazas a nivel de red), robo físico del dispositivo con código de acceso observado (Protección del dispositivo robado), recopilación excesiva de datos por apps (auditoría de permisos), y cadenas de exploits conocidos (actualizaciones automáticas).
Lo que queda: ninguna configuración te hace invulnerable. Los ataques de ingeniería social en los que alguien te convence de compartir voluntariamente credenciales o autorizar acceso siguen funcionando — la tecnología puede reducir la superficie de estos ataques, pero no puede eliminarlos si cooperas con el atacante. Las brechas de datos en los servicios que usas exponen los datos que les proporcionaste, independientemente de la configuración de tu dispositivo. El rastreo propio por los servicios en los que estás autenticado (Google, Meta, Amazon) continúa porque estás voluntariamente identificado. Y los exploits de día cero — aunque el Modo de aislamiento eleva su coste — existen porque ningún software está libre de errores de forma demostrable.
El enfoque honesto: la seguridad consiste en elevar el coste y reducir la probabilidad de ataques exitosos. Cada medida de esta guía elimina o mitiga un vector de ataque específico y real. Combinadas, hacen que un iPhone sea muy difícil de comprometer por cualquier vector que no implique recursos a nivel estatal. El riesgo restante se gestiona mediante la concienciación y el comportamiento — ser escéptico ante mensajes inesperados, no compartir credenciales por teléfono y monitorizar tus cuentas en busca de actividad no autorizada.
Conclusión
Lo básico — código de acceso, Face ID, Buscar mi iPhone — es necesario pero no suficiente. Las medidas que marcan una diferencia significativa más allá de lo básico son: 2FA basada en app de autenticación o passkeys (derrota los ataques de robo de credenciales que realmente tienen éxito), Protección de datos avanzada de iCloud (cifra de extremo a extremo el objetivo más valioso — tus copias de seguridad en la nube), y protección de amenazas a nivel de red (bloquea dominios de phishing antes de que puedas interactuar con ellos). Añade una auditoría de permisos, revisión de sesiones del dispositivo y Protección del dispositivo robado, y habrás abordado todos los vectores de ataque principales que afectan a usuarios reales de iPhone en 2026. La configuración completa lleva 30-45 minutos. La mejora de seguridad es sustancial.