Apple solucionó recientemente una vulnerabilidad crítica en macOS que permitía a actores maliciosos saltarse los controles de privacidad del sistema, conocidos como TCC (Transparencia, Consentimiento y Control), y acceder a datos altamente confidenciales del usuario. Entre la información expuesta se encontraba incluso contenido en caché relacionado con Apple Intelligence.
La vulnerabilidad, identificada como CVE-2025-31199 y bautizada como "SPloitLight" por investigadores de Microsoft, aprovechaba el funcionamiento del complemento Spotlight para evadir las restricciones de privacidad de macOS. Al hacerlo, era posible recolectar datos detallados del usuario sin necesidad de permisos visibles.
Apple abordó el problema en marzo de 2025 con el lanzamiento de macOS Sequoia 15.4, incorporando una mejora clave en la forma en que se redactan (es decir, se ocultan o protegen) los datos durante la indexación del sistema. Según Apple, se trató de una "mejora en la redacción de datos" para cerrar el camino que SPloitLight utilizaba para eludir las defensas del sistema.
¿Cómo los hackers explotaron Spotlight para acceder a datos en macOS?
En macOS, el sistema TCC (Transparencia, Consentimiento y Control) actúa como una capa de seguridad que impide que las apps accedan libremente a datos personales como tu ubicación, fotos, calendario o contactos. Para acceder a esos datos, las apps deben pedirte permiso... al menos en teoría.
Pero un grupo de investigadores de Microsoft (Jonathan Bar Or, Alexia Wilson y Christine Fossaceca) encontró una forma de darle la vuelta a ese control. Descubrieron que algunos complementos de Spotlight podían ser manipulados para ejecutar código con privilegios elevados. Esto permitía a apps maliciosas esquivar las protecciones de TCC y acceder a archivos que normalmente están restringidos a aplicaciones con acceso total al disco.
Según explicó Microsoft, aunque este ataque se parece a bypasses anteriores como HM-Surf y powerdir, SploitLight representa un riesgo aún mayor. ¿Por qué? Porque no solo puede eludir la privacidad local, sino que también permite extraer datos en caché de Apple Intelligence e incluso información remota de dispositivos conectados a iCloud.
En otras palabras, una vulnerabilidad que parecía técnica y limitada se traduce en un acceso sin control a datos muy delicados, tanto locales como en la nube.
¿Qué podían robar los atacantes con la vulnerabilidad SPloitLight?
El alcance de esta falla en macOS no es menor. Si un atacante lograba explotarla, tenía la posibilidad de acceder a una gran cantidad de información privada, sin que el usuario lo notara. Entre los datos que podían ser robados se incluyen:
-
Ubicación precisa del usuario
-
Metadatos de fotos y videos (como dónde y cuándo fueron tomados)
-
Datos de reconocimiento facial y de personas detectadas en imágenes
-
Álbumes de fotos y bibliotecas compartidas
-
Historial de búsqueda y configuraciones personalizadas
-
Fotos y videos eliminados, que aún podrían estar en caché
-
Datos remotos vinculados a cuentas de iCloud y dispositivos asociados
Aunque Apple describió el fallo como un simple “problema de registro”, Microsoft fue más allá y demostró que en realidad el error permitía ejecutar código sin autorización y acceder a componentes críticos del sistema. En otras palabras, se trataba de un acceso privilegiado disfrazado de una simple operación del sistema.
Explotación de Spoitlight (Fuente: Microsoft)
Lo más preocupante de la vulnerabilidad SPloitLight es que no requería que el usuario hiciera absolutamente nada. Como Spotlight es un servicio central del sistema, los atacantes podían aprovechar esta falla sin interacción del usuario, utilizando complementos modificados que abusaban del nivel de privilegios elevado que tiene Spotlight por defecto.
Y lo peor es que el marco de privacidad de Apple, TCC (Transparencia, Consentimiento y Control), ni siquiera detectaba el acceso. Es decir, no había alertas, ni notificaciones, ni registros claros. Era una intrusión completamente silenciosa.
Podría interesarte leer: Nuevo Malware Koske en Linux se Esconde en Imágenes de Pandas
Un historial de vulnerabilidades en macOS
Esta no es la primera vez que se descubren brechas en las defensas de macOS. Microsoft ya había reportado fallos similares en el pasado que permitían eludir o comprometer el sistema TCC y otras capas de seguridad. Aquí algunas de las más notables:
-
CVE-2020-9771 – Omisión de TCC usando montajes de Time Machine
-
CVE-2021-30713 – Vulnerabilidad de lógica en la verificación de paquetes
-
CVE-2021-30970 (powerdir) – Inyección de configuraciones falsas en la base de datos TCC
-
CVE-2023-32369 (migraña) – Bypass de System Integrity Protection (SIP) para instalar rootkits
-
CVE-2024-44243 – Inyección de controladores a través de extensiones de kernel de terceros
Cada una de estas fallas mostró cómo, a pesar de la robustez de macOS, las capas de seguridad pueden ser vulnerables a ataques bien diseñados.
Advertencia de Microsoft: el riesgo se extiende más allá del dispositivo
Microsoft no se limitó a documentar el problema técnico. También lanzó una advertencia clara: estas vulnerabilidades no solo afectan al dispositivo comprometido, sino que podrían exponer datos de otros dispositivos vinculados a la misma cuenta de iCloud.
“Estos riesgos se ven amplificados por la posibilidad de acceder remotamente a datos vinculados a cuentas de iCloud”, explicaron los investigadores. “Un atacante podría obtener información parcial de todos los dispositivos conectados al mismo Apple ID”.
En otras palabras, comprometer un solo Mac podría ser la puerta de entrada para acceder a toda tu red de dispositivos Apple.
Conoce más sobre: Microsoft Dejará de dar Soporte a Windows 11 22H2 en Octubre 2025
Apple reacciona: Parche silencioso y recomendaciones de seguridad
Apple solucionó el problema de forma discreta en marzo de 2025, con el lanzamiento de macOS Sequoia 15.4. El parche incluyó mejoras en el sistema de redacción de datos (data redaction) y restricciones al comportamiento de los complementos de Spotlight.
Aunque Apple no hizo mucho ruido con la actualización, la recomendación para usuarios y organizaciones es clara:
¿Qué deberías hacer si usas macOS?
-
Actualiza ya a macOS Sequoia 15.4 o superior
-
Audita el software de terceros que use integraciones con Spotlight
-
Supervisa el comportamiento inusual de los complementos, sobre todo los que se ejecutan en segundo plano
-
Usa los registros de integridad y privacidad del sistema (System Integrity Logs) para detectar accesos sospechosos o fuera de lo común
Estas medidas son especialmente importantes en entornos empresariales, donde un solo punto de entrada puede exponer redes completas.
Conclusión: SPloitLight es una señal de alerta
El caso de SPloitLight demuestra que incluso los sistemas más cerrados y seguros, como macOS, no son inmunes a errores graves de arquitectura. Y lo más preocupante es que estos ataques pueden pasar completamente desapercibidos para los usuarios y las soluciones de seguridad tradicionales.
Actualizar el sistema operativo y adoptar una postura proactiva frente a la seguridad ya no es opcional: es una necesidad. Las organizaciones deben mantenerse al día con los parches, revisar el software que utilizan y aprovechar al máximo las herramientas de registro y monitoreo que ofrece Apple.