Un nuevo malware dirigido a computadoras Mac ha encendido las alertas de la comunidad de ciberseguridad debido a su capacidad para robar información personal sin levantar sospechas. La amenaza, conocida como MacSync Stealer, se caracteriza por hacerse pasar por una aplicación legítima firmada y notariada por Apple, lo que le permite instalarse en los equipos sin que el usuario detecte comportamientos inusuales durante la fase inicial de ejecución.

MacSync Stealer es un tipo de malware clasificado como infostealer, diseñado específicamente para el robo de datos sensibles. A diferencia de versiones anteriores de este tipo de amenazas, que requerían que la víctima copiara y pegara manualmente código malicioso, la variante más reciente elimina casi por completo la interacción del usuario. En su lugar, se presenta como una aplicación aparentemente confiable, como un supuesto servicio de mensajería o una utilidad común, lo que aumenta significativamente sus probabilidades de éxito.

El malware logra pasar inadvertido gracias a un proceso de ejecución en dos fases. En la primera, se ejecuta como una aplicación escrita en Swift, el lenguaje oficial de Apple, y cuenta con una firma asociada a un ID de desarrollador que fue notariado por la propia compañía. Esto le permite superar los controles iniciales de seguridad de macOS, como Gatekeeper. Además, se distribuye dentro de una imagen de disco de gran tamaño que contiene archivos señuelo, una estrategia que, según Jamf Threat Labs, busca ocultar su verdadera funcionalidad y evitar análisis superficiales.

Una vez instalada, la aplicación analiza el entorno del sistema, verificando aspectos como la conectividad a internet y la posibilidad de comunicarse con un servidor externo. Si las condiciones son favorables, descarga e instala el código malicioso real en una segunda fase, momento en el cual comienza el robo de información. Tras recibir el reporte de Jamf, Apple revocó el certificado del desarrollador implicado y bloqueó la amenaza mediante actualizaciones de sus sistemas de protección.

De acuerdo con Jamf Threat Labs, este caso forma parte de un aumento sostenido de amenazas tipo infostealer en macOS durante 2024, con más de 20 familias activas enfocadas en el robo de credenciales, cookies de navegación, datos bancarios y carteras de criptomonedas. En particular, MacSync Stealer tiene la capacidad de extraer información de navegadores como Safari, Chrome y Firefox, así como datos almacenados en el llavero de macOS (Keychain).

Apple confirmó que reforzó sus mecanismos de seguridad, actualizando las listas internas de XProtect y Gatekeeper, que bloquean automáticamente la ejecución de aplicaciones maliciosas en versiones recientes del sistema operativo. Según la compañía, más del 90 % de los intentos de malware en Mac dependen de técnicas de ingeniería social, lo que resalta la importancia del comportamiento del usuario en la prevención de infecciones.

Los expertos recomiendan mantener macOS actualizado, evitar instalar aplicaciones fuera de la App Store o de desarrolladores plenamente verificados, revisar cuidadosamente los permisos otorgados y considerar el uso de software de seguridad adicional. Asimismo, se aconseja desconfiar de aplicaciones gratuitas de mensajería o sincronización, identificadas como el principal vector de distribución de este tipo de amenazas. Estas medidas no eliminan por completo el riesgo, pero reducen de forma significativa la probabilidad de infección y su impacto.

#cadenaradiallalibertad