La vulnerabilidad de ExifTool: cómo una imagen puede infectar los sistemas macOS

Un análisis en profundidad de CVE-2026-3102, una vulnerabilidad que representa una amenaza potencial para cualquiera que procese imágenes en un Mac.

¿Se puede infectar un ordenador con malware simplemente procesando una fotografía, en particular si el ordenador es un Mac, que muchas personas consideran (sin razón) que es inherentemente resistente al malware? Resulta que la respuesta es sí, si estás usando una versión vulnerable de ExifTool o una de las muchas aplicaciones creadas a partir de ella.

ExifTool es una solución de código abierto muy extendida para leer, escribir y editar metadatos de imágenes. Es la herramienta de referencia para fotografía y archivos digitales, y se utiliza ampliamente en análisis de datos, análisis forenses digitales y periodismo de investigación.

Nuestro Equipo de Análisis e Investigación Global ha descubierto una vulnerabilidad crítica, registrada como CVE-2026-3102, que se activa durante el procesamiento de archivos de imagen maliciosos que contienen comandos de shell incrustados dentro de sus metadatos. Cuando una versión vulnerable de ExifTool en macOS procesa dicho archivo, se ejecuta el comando. Esto permite que un actor de amenazas realice acciones no autorizadas en el sistema, como descargar y ejecutar una carga desde un servidor remoto.

En esta publicación, desglosamos cómo funciona este exploit, proporcionamos recomendaciones de defensa prácticas y explicamos cómo verificar si tu sistema es vulnerable.

¿Qué es ExifTool?

ExifTool es una aplicación gratuita de código abierto que aborda un requisito de nicho pero crítico: extrae metadatos de los archivos y permite el procesamiento tanto de esos datos como de los propios archivos. Los metadatos son la información integrada en la mayoría de los formatos de archivo modernos que describe o complementa el contenido principal de un archivo. Por ejemplo, en una pista de música, los metadatos son el nombre del artista, el título de la canción, el género, el año de lanzamiento, la portada del álbum, etc. Para las fotografías, los metadatos por lo general consisten en la fecha y la hora de la captura, las coordenadas de GPS, la configuración de ISO y velocidad de obturación, y la marca y el modelo de la cámara. Incluso los documentos de Office almacenan metadatos, como el nombre del autor, el tiempo total de edición y la fecha de creación original.

ExifTool es la herramienta líder del sector en términos del gran volumen de formatos de archivo compatibles, así como la profundidad, exactitud y versatilidad de sus capacidades de procesamiento. Los casos de uso comunes incluyen los siguientes:

  • Ajustar las fechas si se registran de manera incorrecta en los archivos de origen.
  • Mover metadatos entre diferentes formatos de archivo (de JPG a PNG, etc.).
  • Extraer miniaturas de vista previa de formatos RAW profesionales (como 3FR, ARW o CR3).
  • Recuperar datos de formatos de nicho, incluidas imágenes térmicas de FLIR, fotografías plenópticas LYTRO e imágenes médicas DICOM.
  • Cambiar el nombre de los archivos de fotografía, vídeo, etc. según la hora de la captura real y sincronizar la hora y la fecha de creación del archivo en consecuencia.
  • Incrustar coordenadas GPS en un archivo sincronizándolo con un registro de seguimiento de GPS almacenado por separado o añadiendo el nombre del área poblada más cercana.

La lista sigue y sigue. ExifTool está disponible como aplicación de línea de comandos independiente y como biblioteca de código abierto, lo que significa que su código a menudo se ejecuta en herramientas poderosas y multiusos; algunos ejemplos son sistemas de organización de fotografías como Exif Photoworker y MetaScope, o herramientas de automatización de procesamiento de imágenes como ImageIngester. En las grandes bibliotecas digitales, editoriales y empresas de análisis de imágenes, ExifTool se utiliza con frecuencia en modo automático, activada por aplicaciones empresariales internas y scripts personalizados.

Cómo funciona CVE-2026-3102

Para aprovechar esta vulnerabilidad, un atacante debe crear un archivo de imagen de cierta manera. Si bien la imagen en sí puede ser cualquier cosa, el exploit se encuentra en los metadatos, específicamente en el campo DateTimeOriginal (fecha y hora de creación), que debe registrarse en un formato no válido. Además de la fecha y la hora, este campo debe contener comandos de shell maliciosos. Debido a la forma específica en que ExifTool maneja los datos en macOS, estos comandos se ejecutarán solo si se cumplen dos condiciones:

  • La aplicación o biblioteca se ejecuta en macOS.
  • El indicador -n (o –printConv) está activado. Este modo genera datos legibles por máquina sin procesamiento adicional, como están. Por ejemplo, en el modo -n, los datos de orientación de la cámara se emiten sin motivo como “seis”, mientras que con un procesamiento adicional, se convierten en “Giro de 90 en sentido horario”, que es más legible para las personas. Que sea legible para las personas evita que se aproveche la vulnerabilidad.

Un escenario raro pero realista para un ataque dirigido sería así: un laboratorio forense, una oficina editorial de medios o una gran organización que procesa documentación legal o médica recibe un documento digital de interés. Este puede ser una fotografía sensacionalista o un reclamo legal: el cebo depende del tipo de trabajo de la víctima. Todos los archivos que entran a la empresa se clasifican y se catalogan a través de un sistema de administración de activos digitales (DAM). En las grandes empresas, esto puede automatizarse; los particulares y las pequeñas empresas ejecutan de forma manual el software requerido. En cualquier caso, la biblioteca de ExifTool se debe utilizar de manera interna en este software. Al procesar la fecha de la fotografía maliciosa, el ordenador donde se produce el procesamiento se infecta con un troyano o un infostealer, que después es capaz de robar todos los datos valiosos almacenados en el dispositivo atacado. Mientras tanto, la víctima podría no notar nada en absoluto, ya que el ataque aprovecha los metadatos de la imagen, mientras que la imagen en sí puede ser inofensiva, completamente apropiada y útil.

Cómo protegerse contra la vulnerabilidad de ExifTool

El Equipo de Análisis e Investigación Global informó de la vulnerabilidad al autor de ExifTool, quien rápidamente lanzó la versión 13.50, que no es susceptible a CVE-2026-3102. Las versiones 13.49 y anteriores deben actualizarse para corregir el error.

Es fundamental asegurarse de que todos los flujos de trabajo de procesamiento de fotografías utilicen la versión actualizada. Debes verificar que todas las plataformas de administración de activos, aplicaciones de organización de fotografías y cualquier script de procesamiento de imágenes masivo que se ejecute en Mac invoquen ExifTool versión 13.50 o posteriores y que no contengan una copia anterior incrustada de la biblioteca de ExifTool.

Lógicamente, ExifTool, como cualquier software, puede contener vulnerabilidades adicionales de esta clase. Para fortalecer las defensas, también recomendamos lo siguiente:

  • Aísla el procesamiento de archivos que no sean de confianza. Procesa imágenes de fuentes cuestionables en un ordenador específico o dentro de un entorno virtual, limitando estrictamente su acceso a otros ordenadores, almacenamiento de datos y recursos de red.
  • Haz un seguimiento continuo de las vulnerabilidades a lo largo de la cadena de suministro de software. Las organizaciones que dependen de componentes de código abierto en sus flujos de trabajo pueden utilizar Open Source Software Threats Data Feed para el seguimiento.

Por último, si trabajas con autónomos o colaboradores independientes (o simplemente permites el uso de dispositivos propios), solo les debes permitir acceder a tu red si tienen instalada una solución de seguridad macOS integral.

¿Todavía crees que macOS es seguro? Lee sobre estas amenazas para el Mac:

Consejos
  • Para el resto de países