Se ha identificado una falla de privacidad en la nueva función de duplicación de iPhone de Apple, introducida con macOS 15.0 Sequoia e iOS 18. Este error, descubierto por expertos en ciberseguridad de Sevco, permite que las aplicaciones personales de un iPhone aparezcan en el inventario de software de una empresa cuando la función se utiliza en las computadoras del trabajo, lo que crea una importante preocupación de privacidad para los empleados. El problema surge de cómo la duplicación de iPhone integra los metadatos de las aplicaciones iOS en el entorno macOS, lo que permite a los departamentos de TI corporativos acceder a los metadatos sobre aplicaciones personales, aunque no se transfieren datos reales de las aplicaciones. Esta falla podría exponer aspectos sensibles de la vida personal de un usuario, incluido el uso de VPN, aplicaciones de citas o servicios relacionados con la salud, lo que podría ponerlo en riesgo legal o social, dependiendo de su ubicación. Para los empleadores, este problema presenta nuevos riesgos de responsabilidad, incluidas posibles violaciones de leyes de privacidad como la Ley de Privacidad del Consumidor de California (CCPA). Las empresas podrían recopilar datos privados sin darse cuenta y enfrentarse a consecuencias legales si estos datos no se gestionan correctamente. Sevco informó del problema a Apple, que lo reconoció y está trabajando activamente para solucionarlo. Mientras tanto, Sevco aconseja a las empresas que desactiven la duplicación de iPhone en dispositivos de trabajo e instruya a los empleados a evitar el uso de esta función en entornos profesionales. Implicaciones para las empresas y los empleados La vulnerabilidad, que afecta a los empleados que utilizan la duplicación del iPhone en las computadoras del trabajo, podría provocar: Responsabilidad legal para las empresas según las leyes de privacidad como la CCPA Exposición accidental de información confidencial de los empleados Posibles violaciones de la confianza y la privacidad de los empleados Según Jason Soroko, Como investigador principal de Sectigo, el problema radica en cómo la duplicación del iPhone no logra separar los metadatos de las aplicaciones personales de los inventarios de software corporativo. “Si bien los datos de las aplicaciones no se comparten, la mera presencia de ciertas aplicaciones, como servicios de salud o de citas, puede revelar información personal confidencial. Lo que se comparte son los metadatos sobre la presencia de aplicaciones en el iPhone reflejado”, dijo Soroko. John Bambenek, presidente de Bambenek Consulting, se hizo eco del punto de Soroko y destacó además que el diseño del ecosistema de Apple, que fomenta la sincronización de datos entre dispositivos, exacerba el problema cuando las cuentas personales están vinculadas al hardware empresarial. «El problema es cuando las cuentas personales están en hardware empresarial, lo cual resulta muy tentador simplemente sincronizar el llavero», advirtió Bambenek. Recomendó que los usuarios preocupados por la privacidad mantengan las aplicaciones personales fuera de los dispositivos de trabajo o utilicen máquinas virtuales para mantener la separación. Lea más sobre los riesgos de privacidad en entornos corporativos: Enterprise Browser promocionado como solución a los riesgos de privacidad de GenAI Pasos inmediatos para las empresas Para mitigar los riesgos, Sevco sugiere las siguientes acciones: Deshabilitar la duplicación de iPhone en las computadoras del trabajo Instruir a los empleados para que eviten usar la función en los dispositivos de la empresa Revisar la empresa Sistemas de TI para evitar la recopilación accidental de datos personales Se espera que Apple lance pronto un parche para abordar esta vulnerabilidad. Una vez que la solución esté disponible, las empresas deben asegurarse de que se implemente de inmediato y eliminar cualquier dato recopilado por error para eliminar una posible exposición legal. Crédito de la imagen: DenPhotos/Shutterstock.com