Pocas amenazas de teléfonos inteligentes generan tanta preocupación como el spyware Pegasus y Predator. Estas son herramientas creadas para el sigilo y la extracción de información confidencial, incluidos mensajes, contactos, geolocalización y datos de micrófonos, cámaras. Ahora, con el lanzamiento de iOS 26, se está cambiando un rastro forense clave que durante mucho tiempo ayudó a los investigadores a rastrear estas intrusiones. Ese cambio tiene serias implicaciones tanto para los profesionales forenses como para los usuarios cotidianos.
Los investigadores de seguridad señalaron iVerify que la actualización a iOS 26 ha alterado la forma en que Apple maneja un archivo de registro en particular, el shutdown.log, parte del paquete Sysdiagnose en la carpeta Unified Logs. En versiones anteriores de iOS, shutdown.log proporcionaba una instantánea de la actividad del sistema al apagar el dispositivo, y el spyware como Pegasus dejaba rastros de manera confiable en su interior.
Con iOS 26, Apple parece haber cambiado el comportamiento. En lugar de anexar cada evento de apagado al registro, el archivo se sobrescribe de forma efectiva en cada reinicio. En términos prácticos, cualquier entrada anterior que pueda haber dejado el spyware podría borrarse una vez que el usuario reinicie el dispositivo. Eso significa que la evidencia de un compromiso anterior puede desvanecerse sin dejar rastro.
Para comprender la escala de esto, es útil explicar cómo los investigadores usaron shutdown.log en el pasado. Cuando Pegasus infectaba un iPhone, a menudo dejaba firmas en este registro, incluso si luego intentaba borrarlas. Los investigadores aprendieron a reconocer patrones como entradas que apuntan a tareas de red WebKit inesperadas, directorios de preparación o nombres de procesos inusuales durante las secuencias de apagado.
En un caso documentado, iVerify descubrió que incluso una shutdown.log autorizada o con un formato extraño podría ser en sí misma una señal de alerta, porque la ausencia de entradas esperadas se convirtió en una heurística de compromiso.
Lo que ha cambiado con iOS 26 es que el comportamiento de “borrón y cuenta nueva al reiniciar” parece borrar solo ese registro forense. Según iVerify, a menos que un usuario tome una instantánea del dispositivo o un diagnóstico del sistema antes de actualizar a iOS 26, es posible que cualquier rastro de infección histórica ya se haya perdido para siempre.
Esto es importante por dos razones. En primer lugar, para las personas que sospechan que sus teléfonos pueden haber sido atacados por un sofisticado spyware, sin las entradas shutdown.log, su capacidad para probar o investigar el compromiso se debilita significativamente. En segundo lugar, para los profesionales de la seguridad y los respondedores de incidentes, el cambio reduce la visibilidad del comportamiento pasado, lo que aumenta la complejidad de la búsqueda de amenazas y las investigaciones forenses.
El cambio en iOS 26 no solo afecta la detección de rastros. Llega en un momento en que el software espía como Pegasus y Predator ya no solo se usa contra activistas de derechos humanos y periodistas. La investigación anterior de iVerify encontró que los ejecutivos de negocios de alto patrimonio neto, el personal del gobierno y los líderes del sector privado también han sido atacados.
Dadas las tácticas cambiantes de estas herramientas de vigilancia, la capacidad de detectarlas siempre ha sido una carrera. El cambio de iOS 26 puede dar a los atacantes otra ventaja al reducir la ventana para que los investigadores detecten infecciones históricas.
Lo que esto significa para usted
Si posee un iPhone o administra dispositivos en un entorno corporativo, estos son los pasos clave a considerar a la luz de este desarrollo:
1. Antes de actualizar a iOS 26: Si sospecha que un dispositivo puede haberse visto comprometido, ejecute un sysdiagnose completo antes de aplicar la actualización. Guarde la shutdown.log, archívela y guarde una copia segura. Una vez instalado iOS 26 y reiniciado el dispositivo, es posible que se pierdan las entradas de registro.
2. Habilite herramientas de monitoreo y detección: use soluciones forenses móviles o EDR de buena reputación que puedan escanear registros de diagnóstico, comportamiento del sistema e indicadores conocidos de compromiso (IOC), como directorios de ensayo, tareas de red inesperadas o anomalías de registro.
3. Para las flotas empresariales, priorice la visibilidad continua: debido a que los rastros históricos pueden desaparecer, los modelos de detección deben apoyarse más en el encuentro en tiempo real de anomalías, como registros de autenticadores inusuales, inscripciones de dispositivos desconocidos o comportamiento de procesos en segundo plano, en lugar de depender únicamente de artefactos de registro estáticos.
4. Manténgase actualizado: Sigue siendo importante instalar los últimos parches de iOS (que pueden corregir vulnerabilidades de día cero). Pero tenga en cuenta que las actualizaciones también pueden alterar los artefactos forenses. Para los usuarios de alto riesgo, considere mantener el dispositivo en modo de bloqueo y realizar copias de seguridad de los registros antes de las actualizaciones importantes.
5. Eduque a su organización: Muchos usuarios no saben que los registros del sistema son importantes para la continuidad forense. Garantizar que los empleados y ejecutivos entiendan que la actualización de un sistema operativo puede afectar la trazabilidad ahora es parte de la higiene digital.
El cambio en iOS 26 refleja una tensión más amplia en la seguridad móvil. Apple puede argumentar que borrar los registros al reiniciar es una mejora de la higiene del sistema, como reducir el tamaño del archivo de registro, mejorar el rendimiento o limitar los datos residuales. Sin embargo, en la práctica, también puede eliminar herramientas en las que confían los defensores para detectar amenazas sofisticadas.
Para los atacantes, este cambio representa una ganancia. Sin registros históricos confiables, las investigaciones retrospectivas son más difíciles. Atrás quedaron algunos de los rastros de “pistola humeante” que los investigadores sabían leer. Eso no significa que el compromiso sea imposible de detectar, pero significa que la detección requerirá más conocimiento en tiempo real y múltiples fuentes de señal en lugar de solo un archivo de registro.
Para la industria de la seguridad, es una llamada de atención que los modelos forenses deben evolucionar. Es posible que las heurísticas antiguas vinculadas a archivos de registro específicos ya no sean suficientes. La detección debe ser más conductual, más continua y más resistente a los cambios a nivel de sistema operativo.
La actualización a iOS 26 puede ser pequeña a simple vista, pero su impacto es todo menos trivial. Para cualquiera que confíe en los rastros forenses para descubrir software espía como Pegasus o Predator, la ventana de detección se ha vuelto más pequeña. Para los defensores de la seguridad móvil, es un recordatorio de que la vigilancia, la visibilidad en capas y las estrategias con visión de futuro son más cruciales que nunca.