Errores, Noticias

La vulnerabilidad «PixelSmash» convierte los archivos de vídeo en herramientas de ataque

por Pieter Arntz | 24 de junio de 2026
PixelSmash
Añadir como fuente preferida en Google

Una vulnerabilidad recién descubierta en el decodificador MagicYUV de FFmpeg puede convertir un vídeo minúsculo y mal formado en un punto de acceso para los atacantes.

Unos investigadores han dado a conocer PixelSmash, una vulnerabilidad crítica identificada con el número CVE-2026-8461, presente en el decodificador de vídeo MagicYUV de FFmpeg, con una puntuación CVSS de 8,8.

Al crear un archivo AVI, MKV o MOV con un formato especial, un atacante puede provocar un fallo en el sistema o, potencialmente, ejecutar código en cualquier sistema que intente generar una miniatura, extraer metadatos o reproducir el archivo con una versión vulnerable de FFmpeg.

¿Qué es FFmpeg? ¿Es algo serio?

FFmpeg es un conjunto de herramientas de código abierto para grabar, convertir y transmitir audio y vídeo, y su biblioteca libavcodec incorpora cientos de decodificadores de audio y vídeo.

Uno de ellos es MagicYUV, un códec sin pérdida muy utilizado en la edición de vídeo. Una vulnerabilidad recién descubierta en el decodificador MagicYUV de FFmpeg puede convertir un vídeo minúsculo y mal formado en un punto de acceso para los atacantes.

Unos investigadores han dado a conocer PixelSmash, una vulnerabilidad crítica identificada con el número CVE-2026-8461, presente en el decodificador de vídeo MagicYUV de FFmpeg, con una puntuación CVSS de 8,8.

Al crear un archivo AVI, MKV o MOV con un formato especial, un atacante puede provocar un fallo en el sistema o, potencialmente, ejecutar código en cualquier sistema que intente generar una miniatura, extraer metadatos o reproducir el archivo con una versión vulnerable de FFmpeg.

¿Qué es FFmpeg? ¿Es algo serio?

FFmpeg es un conjunto de herramientas de código abierto para grabar, convertir y transmitir audio y vídeo, y su biblioteca libavcodec incorpora cientos de decodificadores de audio y vídeo.

Uno de ellos es MagicYUV, un códec sin pérdida muy utilizado en la edición de vídeo. Los investigadores descubrieron que estaba activado por defecto en el código fuente de FFmpeg y en todos los paquetes de las distribuciones de Linux que probaron hasta la versión 9.0 de FFmpeg.

Las consecuencias son más graves de lo que podrías imaginar. Si utilizas cualquier sistema relacionado con el vídeo —desde un escritorio Linux hasta un servidor Jellyfin o Nextcloud, o incluso un modelo de IA que procesa clips—, probablemente estés utilizando FFmpeg en segundo plano.

Es difícil determinar con exactitud cuántos sistemas se ven afectados, pero conviene saber que:

  • Decenas de millones de sistemas Linux dependen de ffmpegthumbnailer y sistema libavcodec En el caso de las miniaturas, el simple hecho de «navegar por una carpeta» puede provocar el error si hay algún archivo malicioso.
  • Jellyfin y Nextcloud, dos de las plataformas de archivos y contenidos multimedia autohospedadas más populares a nivel mundial, cuentan cada una con al menos decenas de miles de servidores activos accesibles a través de Internet. Casi todos aquellos que no han actualizado FFmpeg ni desactivado MagicYUV son vulnerables a ataques de denegación de servicio (DoS) y, en algunas configuraciones, a ataques selectivos de ejecución remota de código (RCE).
  • Una gran parte de los dispositivos de almacenamiento en red (NAS) y de las plataformas de televisores inteligentes utilizan FFmpeg para generar vistas previas y miniaturas. Estos dispositivos se venden por millones.

Lo más preocupante de PixelSmash es lo poco que hace falta para activarlo. Solo se necesita una aplicación que utilice FFmpeg para procesar archivos multimedia no fiables y que tenga el decodificador MagicYUV integrado.

PixelSmash es un buen ejemplo de un problema más amplio en el ecosistema del código abierto: un error en una dependencia profunda que se propaga de forma silenciosa por todas partes.

Cómo protegerse

Esta vulnerabilidad no es algo por lo que deban preocuparse la mayoría de los usuarios particulares. Debe solucionarse en las versiones anteriores. Los usuarios de las distribuciones de Linux afectadas deben estar atentos a las actualizaciones de FFmpeg o a las actualizaciones de seguridad de su distribución.

Sin embargo, si eres responsable de sistemas que gestionan vídeo, debes dar por hecho que te ves afectado hasta que se demuestre lo contrario. Las principales medidas de mitigación son:

  • Actualiza FFmpeg. La versión 8.1.2 de FFmpeg , publicada el 17 de junio de 2026, incluye una corrección para el CVE-2026-8461. Si tu distribución o proveedor ofrece una versión actualizada de FFmpeg, instálala en todos los ordenadores de sobremesa, servidores y contenedores.
  • Comprueba si MagicYUV está activado y desactívalo o aplica los parches que sea posible.
  • Reduce el procesamiento automático de vídeos no fiables. Comprueba qué proveedores de vistas previas y generadores de miniaturas están activados, especialmente para los formatos que se utilizan con poca frecuencia.

Por último, conviene estar atento a los fallos inusuales de los reproductores multimedia, los generadores de miniaturas o los servidores multimedia, especialmente tras abrir o descargar un nuevo archivo de vídeo. Debes considerar los fallos repetidos o la ausencia de miniaturas como posibles indicios de contenido malicioso hasta que se apliquen los parches correspondientes a los sistemas.

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Las consecuencias son más graves de lo que podrías imaginar. Si utilizas cualquier sistema relacionado con el vídeo —desde un escritorio Linux hasta un servidor Jellyfin o Nextcloud, o incluso un modelo de IA que procesa clips—, probablemente estés utilizando FFmpeg en segundo plano.

Es difícil determinar con exactitud cuántos sistemas se ven afectados, pero conviene saber que:

  • Decenas de millones de sistemas Linux dependen de ffmpegthumbnailer y sistema libavcodec En el caso de las miniaturas, el simple hecho de «navegar por una carpeta» puede provocar el error si hay algún archivo malicioso.
  • Jellyfin y Nextcloud, dos de las plataformas de archivos y contenidos multimedia autohospedadas más populares a nivel mundial, cuentan cada una con al menos decenas de miles de servidores activos accesibles a través de Internet. Casi todos aquellos que no han actualizado FFmpeg ni desactivado MagicYUV son vulnerables a ataques de denegación de servicio (DoS) y, en algunas configuraciones, a ataques selectivos de ejecución remota de código (RCE).
  • Una gran parte de los dispositivos de almacenamiento en red (NAS) y de las plataformas de televisores inteligentes utilizan FFmpeg para generar vistas previas y miniaturas. Estos dispositivos se venden por millones.

Lo más preocupante de PixelSmash es lo poco que hace falta para activarlo. Solo se necesita una aplicación que utilice FFmpeg para procesar archivos multimedia no fiables y que tenga el decodificador MagicYUV integrado.

PixelSmash es un buen ejemplo de un problema más amplio en el ecosistema del código abierto: un error en una dependencia profunda que se propaga de forma silenciosa por todas partes.

Cómo protegerse

Esta vulnerabilidad no es algo por lo que deban preocuparse la mayoría de los usuarios particulares. Debe solucionarse en las versiones anteriores. Los usuarios de las distribuciones de Linux afectadas deben estar atentos a las actualizaciones de FFmpeg o a las actualizaciones de seguridad de su distribución.

Sin embargo, si eres responsable de sistemas que gestionan vídeo, debes dar por hecho que te ves afectado hasta que se demuestre lo contrario. Las principales medidas de mitigación son:

  • Actualiza FFmpeg. La versión 8.1.2 de FFmpeg , publicada el 17 de junio de 2026, incluye una corrección para el CVE-2026-8461. Si tu distribución o proveedor ofrece una versión actualizada de FFmpeg, instálala en todos los ordenadores de sobremesa, servidores y contenedores.
  • Comprueba si MagicYUV está activado y desactívalo o aplica los parches que sea posible.
  • Reduce el procesamiento automático de vídeos no fiables. Comprueba qué proveedores de vistas previas y generadores de miniaturas están activados, especialmente para los formatos que se utilizan con poca frecuencia.

Por último, conviene estar atento a los fallos inusuales de los reproductores multimedia, los generadores de miniaturas o los servidores multimedia, especialmente tras abrir o descargar un nuevo archivo de vídeo. Debes considerar los fallos repetidos o la ausencia de miniaturas como posibles indicios de contenido malicioso hasta que se apliquen los parches correspondientes a los sistemas.

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Producto
Un lobo con piel de cordero

Ten cuidado con las estafas de renovación que se hacen pasar por Malwarebytes

Junio 24, 2026

Los estafadores están enviando avisos falsos de renovación de software en los que afirman que se te ha cobrado una suscripción. Algunos incluso se hacen pasar por Malwarebytes.

Estafas
Un joven se sentó con la cabeza en una mano y sosteniendo un teléfono en la otra.

Total a todos tus dispositivos». Los estafadores especializados en sextorsión vuelven a la carga

Junio 24, 2026

Afirman que tienen vídeos, malware y control total sobre tus dispositivos. A continuación te explicamos cómo analizar un correo electrónico de sextorsión como un investigador de seguridad, en lugar de como una víctima.

Noticias
Meta logo

Meta suspende su polémico programa de seguimiento de empleados tras una revisión de seguridad

Junio 23, 2026

Meta ha suspendido su polémico programa de seguimiento de empleados. Por desgracia, no fue la privacidad de los empleados lo que lo detuvo.

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas