El 24 de marzo de 2026 Apple publicó macOS Tahoe 26.4, una actualización que corrige más de setenta vulnerabilidades de seguridad. La que más preocupa lleva el identificador CVE-2026-28840 y vive en PackageKit, el componente del sistema que se encarga de instalar paquetes y software. Una aplicación maliciosa que ya estuviera ejecutándose en el equipo podía aprovechar este fallo para hacerse con privilegios de root, es decir, control total sobre la máquina.
Qué falla exactamente
Apple describe CVE-2026-28840 como un problema de permisos que se ha resuelto añadiendo restricciones adicionales. PackageKit corre con privilegios elevados porque necesita escribir en zonas del sistema que un usuario normal no puede tocar. El fallo permitía que una app sin privilegios especiales abusara de ese canal y terminara ejecutando código como root.
No es la única escalada de la tanda. Apple parchea también CVE-2026-28821 en CoreServices, donde una verificación defectuosa de los entitlements (los permisos firmados que Apple asigna a cada proceso) permitía a una app ganar privilegios elevados. Y CVE-2026-28888 en CUPS, el sistema de impresión, una condición de carrera que también abría la puerta a root. Tres rutas distintas hacia el mismo objetivo, las tres corregidas en esta versión.
A quién afecta
El boletín de Apple documenta estos tres fallos para macOS Tahoe 26.4. Apple lanzó el mismo día actualizaciones de seguridad para las ramas anteriores que siguen recibiendo soporte, Sequoia 15.7.5 y Sonoma 14.8.5, aunque el detalle por CVE de esas versiones se publica en sus propios boletines.
Conviene quitarle dramatismo en su justa medida. Para explotar CVE-2026-28840 hace falta que el atacante ya tenga código corriendo en tu Mac. No es un fallo que se dispare con solo visitar una web o abrir un correo. El riesgo real aparece cuando ya has instalado algo dudoso o cuando otra vulnerabilidad sirve de primer escalón. Aun así, una escalada a root es lo que convierte una intrusión menor en un compromiso completo del sistema, y por eso Apple lo trata como prioritario.
Cómo protegerse
La solución es directa: actualiza. Ve a Ajustes del Sistema, General, Actualización de software y aplica macOS Tahoe 26.4. Si usas Sequoia o Sonoma, instala 15.7.5 o 14.8.5 respectivamente. No hay mitigación parcial que sustituya al parche; la corrección está en el código del propio sistema.
Si gestionas una flota de equipos, prioriza el despliegue de estas versiones por encima de actualizaciones cosméticas. Las escaladas locales a root suelen tardar poco en aparecer en kits de post-explotación, así que el margen entre la publicación del aviso y la aparición de exploits públicos puede ser corto.
Para quien quiera el contexto completo, en LinuxGratis mantenemos la ficha de macOS con versiones, fechas de soporte y novedades de seguridad.
Fuente
- Apple, About the security content of macOS Tahoe 26.4: https://support.apple.com/en-us/126794
- NVD, CVE-2026-28840: https://nvd.nist.gov/vuln/detail/CVE-2026-28840