Abrí PSD y me apareció un troyano. Cómo los hackers están aterrorizando a los diseñadores gráficos

La empresa Adobe lanzó actualizaciones de seguridad fuera del calendario para Photoshop 2024 y 2025, corrigiendo de inmediato tres vulnerabilidades críticas con una puntuación CVSS de 7.8: CVE-2025-30324, CVE-2025-30325 y CVE-2025-30326. Los tres fallos podían permitir a atacantes ejecutar código arbitrario en dispositivos con Windows y macOS al abrir archivos especialmente manipulados.

Los errores fueron descubiertos por el investigador independiente yjdfy a través del programa de recompensas HackerOne. El análisis reveló que las vulnerabilidades están relacionadas con un manejo incorrecto de la memoria, en particular, con cálculos erróneos de enteros y el uso de punteros no inicializados. Aunque no se ha detectado explotación activa hasta el momento, los ataques son posibles con solo abrir archivos gráficos maliciosos, lo que requiere una interacción mínima por parte de la víctima.

La primera de las tres vulnerabilidades —CVE-2025-30324— está relacionada con un error de desbordamiento en el módulo de composición de capas de Photoshop. El problema surge al restar un valor grande de uno más pequeño sin una verificación adecuada de límites: esto provoca un desplazamiento negativo en la memoria operativa y puede corromper áreas vecinas. A través de esta brecha, un atacante puede crear un archivo .PSD especialmente diseñado que provoque un error de escritura antes del inicio del búfer asignado.

La segunda vulnerabilidad, CVE-2025-30325, afecta el procesamiento del espacio de color CMYK. Permite provocar un desbordamiento del búfer en el heap al introducir valores excesivamente grandes en el perfil de color, lo que lleva a una corrupción de la memoria durante los cálculos de píxeles. Ambos problemas requieren interacción local: el usuario debe descargar el archivo infectado y abrirlo.

La tercera vulnerabilidad, CVE-2025-30326, está relacionada con el procesamiento de metadatos en archivos TIFF. Al leer encabezados Exif en un formato obsoleto, puede producirse una referencia a un puntero no inicializado, lo que permite al atacante controlar operaciones posteriores en la memoria de la aplicación.

Las tres vulnerabilidades permiten ejecutar código arbitrario con los mismos privilegios que Photoshop. Dado que este software a menudo se ejecuta con privilegios de administrador, los riesgos aumentan considerablemente. Las actualizaciones, publicadas el 13 de mayo de 2025, corrigen el problema en las versiones 26.5 y 25.12.2, ofreciendo parches en las versiones 26.6 y 25.12.3 respectivamente. Las medidas principales incluyen una verificación ampliada de límites en operaciones rasterizadas y una validación reforzada de punteros.

Para los usuarios de Creative Cloud, la actualización se instala automáticamente, pero en entornos corporativos se requiere aprobación manual a través del Admin Console. Adobe recomienda a los administradores probar previamente la compatibilidad del parche con los complementos, ya que la nueva gestión de memoria puede afectar a extensiones obsoletas.

Como solución temporal para sistemas no preparados, Adobe propone restringir la apertura de archivos desde fuentes no confiables mediante políticas GPO (en Windows) o perfiles MDM (en macOS). Sin embargo, estas medidas reducen la funcionalidad y no reemplazan una actualización completa.

Este incidente vuelve a poner de manifiesto lo difícil que es proteger software gráfico complejo de ataques basados en archivos. Aunque Adobe ha ampliado la infraestructura de fuzzing para códecs desde 2023, los problemas con formatos obsoletos siguen presentes.

Para las organizaciones, este evento es un motivo para reconsiderar los plazos de migración a versiones más recientes de Photoshop, especialmente si se trabaja activamente con archivos de terceros. Los especialistas en ciberseguridad aconsejan ejecutar los editores gráficos en entornos aislados —mediante virtualización o contenedores— para minimizar el daño en caso de una posible brecha.

Adobe continúa demostrando rapidez de respuesta: desde que comenzó el año, esta es ya la cuarta actualización crítica de Photoshop, lo que refleja el aumento de ataques y la creciente dificultad de protección ante la llegada de nuevas funciones basadas en IA. Las empresas deben verificar inmediatamente el estado de las actualizaciones de Creative Cloud y, si es necesario, instalar manualmente los parches. También se recomienda revisar las últimas actividades de procesamiento de archivos en busca de comportamientos sospechosos.