Así funcionaba la vulnerabilidad: el caso sploitlight
La vulnerabilidad, apodada «Sploitlight», fue localizada en el sistema de búsqueda de macOS, Spotlight. Su funcionamiento interno aprovechaba los plugins de indexación conocidos como .mdimporter, que ayudan a catalogar archivos en el sistema para optimizar la búsqueda. Estos complementos trabajan con privilegios elevados y están diseñados para acceder a distintos directorios y archivos, incluso aquellos que habitualmente están restringidos por el marco de Transparencia, Consentimiento y Control (TCC) de Apple.
El exploit consistía en modificar los archivos de configuración de un plugin e introducirlo en los directorios apropiados. De esta manera, el atacante conseguía que el sistema cargase el complemento manipulando tareas internas de macOS sin requerir permisos adicionales del usuario. Así, era posible registrar el contenido de archivos sensibles (por ejemplo, los almacenados en la carpeta Descargas o en bases de datos fotográficas) y enviar estos datos fuera del sistema, todo ello sin que el usuario diera su consentimiento ni fuese consciente de lo que estaba ocurriendo.
Repercusiones en privacidad y modelos afectados
El alcance de la vulnerabilidad era considerable. Permitía acceder a información especialmente delicada, como ubicaciones GPS, metadatos de fotografías, historiales de actividad, datos de reconocimiento facial o notas generadas por Apple Intelligence. Este material no solo se encontraba en el propio Mac, sino que podía estar sincronizado por iCloud, lo que multiplicaba el riesgo al exponer datos de otros dispositivos vinculados a la misma cuenta.
Se vieron afectados aquellos Mac que eran compatibles con Apple Intelligence, en otras palabras, equipos equipados con chips de las series M1, M2, M3 y M4 que tuvieran versiones de macOS 15.3.2 o anteriores. Por suerte, no se tienen indicios de que esta vulnerabilidad haya sido explotada de manera generalizada, pero el potencial de daño era más que evidente.
El papel de microsoft en la detección y la respuesta de apple
Llama la atención que el fallo fuera detectado por el equipo de Microsoft Threat Intelligence. Estos investigadores publicaron todos los detalles técnicos en su blog tras proporcionar la información de forma confidencial a Apple meses antes de que se hiciera pública la amenaza. Además, desarrollaron una herramienta de prueba para demostrar la facilidad con la que se podía explotar el error, bautizándolo como Sploitlight.
La respuesta de Apple fue rápida y efectiva: el lanzamiento de macOS 15.4 el 31 de marzo de 2025 incluyó el parche necesario para cerrar la brecha y evitar que futuros intentos de explotación pudiesen prosperar. La actualización reforzó el control y aislamiento de los plugins de Spotlight, mejoró la gestión de datos internos y validó la carga de componentes para evitar manipulación.
Por qué conviene mantener el mac actualizado
Conviene recordar que cada nueva versión de macOS suele incorporar correcciones de seguridad junto a novedades visuales o funcionales. La actualización macOS 15.4 resultó especialmente oportuna, ya que cerró varias vías de ataque potenciales justo antes de que la nueva función llegara a más usuarios.
No es la primera vez que se descubre una vulnerabilidad de este tipo, pero el caso de Sploitlight ha sido especialmente mediático por el modo en el que burlaba los mecanismos de protección más reputados del ecosistema de Apple.
Recomendaciones para usuarios y administradores
Para aquellos que aún no han actualizado su equipo, la recomendación es clara: aplicar sin demora las últimas versiones disponibles de macOS. La solución al fallo se encuentra incluida desde la versión 15.4, pero Apple ha seguido introduciendo mejoras menores en versiones posteriores (como la 15.4.1 y la próxima 15.5).
Además, soluciones de seguridad como Microsoft Defender para Endpoint han mejorado su capacidad de detección frente a complementos sospechosos cargados en el sistema, ayudando en entornos empresariales a identificar posibles intentos de explotación antes de que lleguen a causar daños.
Encuentra contenido extra relacionado con este artículo:
iMac macOS
Jul 29 2025
Apple soluciona una grave vulnerabilidad en macOS que permitía el robo de datos privados
Así funcionaba la vulnerabilidad: el caso sploitlight
La vulnerabilidad, apodada «Sploitlight», fue localizada en el sistema de búsqueda de macOS, Spotlight. Su funcionamiento interno aprovechaba los plugins de indexación conocidos como .mdimporter, que ayudan a catalogar archivos en el sistema para optimizar la búsqueda. Estos complementos trabajan con privilegios elevados y están diseñados para acceder a distintos directorios y archivos, incluso aquellos que habitualmente están restringidos por el marco de Transparencia, Consentimiento y Control (TCC) de Apple.
El exploit consistía en modificar los archivos de configuración de un plugin e introducirlo en los directorios apropiados. De esta manera, el atacante conseguía que el sistema cargase el complemento manipulando tareas internas de macOS sin requerir permisos adicionales del usuario. Así, era posible registrar el contenido de archivos sensibles (por ejemplo, los almacenados en la carpeta Descargas o en bases de datos fotográficas) y enviar estos datos fuera del sistema, todo ello sin que el usuario diera su consentimiento ni fuese consciente de lo que estaba ocurriendo.
Repercusiones en privacidad y modelos afectados
El alcance de la vulnerabilidad era considerable. Permitía acceder a información especialmente delicada, como ubicaciones GPS, metadatos de fotografías, historiales de actividad, datos de reconocimiento facial o notas generadas por Apple Intelligence. Este material no solo se encontraba en el propio Mac, sino que podía estar sincronizado por iCloud, lo que multiplicaba el riesgo al exponer datos de otros dispositivos vinculados a la misma cuenta.
Se vieron afectados aquellos Mac que eran compatibles con Apple Intelligence, en otras palabras, equipos equipados con chips de las series M1, M2, M3 y M4 que tuvieran versiones de macOS 15.3.2 o anteriores. Por suerte, no se tienen indicios de que esta vulnerabilidad haya sido explotada de manera generalizada, pero el potencial de daño era más que evidente.
El papel de microsoft en la detección y la respuesta de apple
Llama la atención que el fallo fuera detectado por el equipo de Microsoft Threat Intelligence. Estos investigadores publicaron todos los detalles técnicos en su blog tras proporcionar la información de forma confidencial a Apple meses antes de que se hiciera pública la amenaza. Además, desarrollaron una herramienta de prueba para demostrar la facilidad con la que se podía explotar el error, bautizándolo como Sploitlight.
La respuesta de Apple fue rápida y efectiva: el lanzamiento de macOS 15.4 el 31 de marzo de 2025 incluyó el parche necesario para cerrar la brecha y evitar que futuros intentos de explotación pudiesen prosperar. La actualización reforzó el control y aislamiento de los plugins de Spotlight, mejoró la gestión de datos internos y validó la carga de componentes para evitar manipulación.
Por qué conviene mantener el mac actualizado
Conviene recordar que cada nueva versión de macOS suele incorporar correcciones de seguridad junto a novedades visuales o funcionales. La actualización macOS 15.4 resultó especialmente oportuna, ya que cerró varias vías de ataque potenciales justo antes de que la nueva función llegara a más usuarios.
No es la primera vez que se descubre una vulnerabilidad de este tipo, pero el caso de Sploitlight ha sido especialmente mediático por el modo en el que burlaba los mecanismos de protección más reputados del ecosistema de Apple.
Recomendaciones para usuarios y administradores
Para aquellos que aún no han actualizado su equipo, la recomendación es clara: aplicar sin demora las últimas versiones disponibles de macOS. La solución al fallo se encuentra incluida desde la versión 15.4, pero Apple ha seguido introduciendo mejoras menores en versiones posteriores (como la 15.4.1 y la próxima 15.5).
Además, soluciones de seguridad como Microsoft Defender para Endpoint han mejorado su capacidad de detección frente a complementos sospechosos cargados en el sistema, ayudando en entornos empresariales a identificar posibles intentos de explotación antes de que lleguen a causar daños.
iMac macOS
By Roger Casadejús Pérez • Blog 0