El ecosistema de ordenadores Mac se ha topado con una amenaza que ya juega en otra liga: MacSync Stealer, un malware especializado en el robo de información que se cuela en los equipos aprovechando los propios sistemas de confianza de Apple. Lejos de los virus chapuceros de antaño, este software malicioso se presenta como si fuera una aplicación legítima y fiable, con firma de desarrollador válida y proceso de notariado superado, también en España y el resto de Europa, como muestran análisis sobre ciberataques a Mac y Linux.
En sus variantes más recientes, esta familia de código malicioso se ejecuta como una app escrita en Swift, firmada y certificada ante notario por Apple, lo que le permite saltarse muchos de los controles iniciales de macOS, incluidos mecanismos como Gatekeeper y XProtect. Este salto cualitativo dificulta la detección temprana y abre la puerta a filtraciones silenciosas de datos personales y corporativos tanto en entornos domésticos como profesionales.
Qué es MacSync Stealer y cómo ha evolucionado en macOS
En sus primeras apariciones, la infección se apoyaba en técnicas que requerían acciones explícitas del usuario, como métodos similares a ClickFix o el clásico “copiar y pegar” comandos en la Terminal para ejecutar scripts maliciosos. Ese enfoque exigía un mayor grado de interacción manual, lo que daba más margen para que el usuario sospechara de algo raro y detuviera la instalación antes de que el daño fuera mayor.
Los análisis de Jamf Threat Labs, laboratorio de referencia en seguridad para dispositivos Apple, describen una situación bastante diferente en la variante más reciente. Según sus informes, MacSync Stealer ha dado un salto hacia un modelo de infección mucho más automatizado y silencioso, reduciendo al mínimo las señales visibles para la víctima y apoyándose en la confianza que generan la firma y el notariado de Apple.
El truco está en que la primera fase del ataque se presenta como una aplicación desarrollada en Swift, con ID de desarrollador legítima, firma de código válida y notariado superado. Para el sistema operativo y para la mayoría de usuarios, esta combinación es sinónimo de software fiable, cuando en realidad es el primer eslabón de una cadena de infección cuidadosamente diseñada.
En muchos casos, la amenaza llega camuflada bajo la apariencia de servicio de mensajería, herramienta de productividad o utilidad de sincronización, con nombre, icono y descripciones que suenan de lo más inofensivo. Esa fachada reduce todavía más las sospechas iniciales, un detalle especialmente preocupante en oficinas, administraciones públicas y empresas europeas donde el Mac se ha consolidado como herramienta de trabajo diaria.
Un instalador en Swift que burla Gatekeeper y actúa como dropper
La campaña descrita por Jamf muestra que el primer componente de la amenaza funciona como un dropper escrito en Swift: un instalador aparentemente legítimo cuya misión real es preparar el terreno y descargar el código malicioso auténtico desde un servidor remoto. De entrada, el binario Mach-O que contiene esta app aparece firmado y notariado, asociado a un Team ID de desarrollador real, por lo que supera sin problemas los chequeos iniciales de Gatekeeper.
En uno de los casos analizados, el dropper se distribuía como una imagen de disco DMG con nombre de aplicación de mensajería, bajo denominaciones como “zk-call-messenger-installer-3.9.2-lts.dmg” y alojado en un dominio preparado para la campaña. El instalador se presenta al usuario como una supuesta herramienta de llamadas y mensajería, de modo que basta con hacer doble clic para ejecutarlo, sin los pasos complicados de infecciones más antiguas.
Aunque el paquete esté firmado, en algunos escenarios los atacantes añaden instrucciones para forzar al usuario a hacer clic derecho y seleccionar «Abrir», un truco clásico para esquivar advertencias adicionales de macOS cuando la app no proviene de la Mac App Store. Este pequeño detalle, que a muchos les pasa desapercibido, ya debería encender las alarmas, sobre todo si el software procede de una web poco conocida.
Una vez que el usuario arranca la aplicación, el dropper realiza una serie de comprobaciones del entorno antes de pasar a la segunda fase. Entre otros pasos, verifica que el equipo cuente con conexión estable a Internet, revisa determinadas condiciones del sistema y, en algunos casos, espera un periodo mínimo de tiempo de ejecución cercano a 3600 segundos para que su comportamiento no resulte demasiado inmediato ni sospechoso.
Cuando se cumplen las condiciones fijadas por los atacantes, el programa se conecta a un servidor remoto de mando y control para descargar un script o payload codificado, generalmente en Base64, que contiene el núcleo de MacSync Stealer. En esta fase ya se encuentra el código encargado de robar información y mantener el control sobre el Mac comprometido, mientras que el instalador inicial se limita a servir de caballo de Troya.
DMG infladas, archivos señuelo y cambios en la descarga para evadir detección
Uno de los aspectos que más ha llamado la atención de los investigadores es el uso de imágenes de disco de gran tamaño repletas de archivos señuelo. La DMG asociada a este instalador ronda los 25,5 MB, un volumen inusualmente alto para lo que, en apariencia, es una aplicación sencilla de mensajería o utilidad ligera.
Según detalla Jamf Threat Labs, este peso se consigue inflando el paquete con documentos irrelevantes, como PDFs u otros ficheros incrustados que no aportan nada al funcionamiento de la app. Esa mezcla de contenido de relleno con el componente real complica el análisis automatizado que realizan antivirus y soluciones de seguridad, que deben procesar un volumen mayor de datos y distinguir qué es legítimo y qué no.
Después de montar la imagen de disco y ejecutar la aplicación, el dropper inicia un escaneo del entorno local para comprobar desde la conectividad hasta determinados parámetros del sistema. Solo cuando tiene claro que el escenario es el adecuado contacta con la infraestructura remota para descargar el segundo módulo. En muchos casos, las cargas se ejecutan principalmente en memoria, dejando una huella mínima en disco y complicando todavía más la detección forense posterior.
El código descargado en esta segunda fase se corresponde con MacSync, evolución de una familia anterior conocida como Mac.c. Investigaciones independientes señalan que este agente está desarrollado en Go y que dispone de un abanico de capacidades que va mucho más allá del simple robo de contraseñas, siguiendo la línea de otras amenazas modernas orientadas a macOS.
Para rematar, los atacantes afinan incluso los comandos de descarga empleados en el proceso. El uso de herramientas como curl se realiza con combinaciones de parámetros menos habituales —por ejemplo, separando la cadena típica -fsSL en banderas como -fL y -sS, e incorporando opciones como --noproxy— con el objetivo de esquivar reglas de detección basadas en patrones repetidos y mejorar la fiabilidad de la conexión con sus servidores.
De ladrón de datos a plataforma de control remoto
El corazón de MacSync Stealer no se queda en la categoría de infostealer básico: los análisis técnicos describen un agente con capacidades completas de comando y control (C2), preparado para mantener una comunicación persistente con el equipo afectado y recibir instrucciones en tiempo real.
Entre las funciones atribuidas a esta familia destacan el robo de credenciales, cookies de navegación, datos de tarjetas bancarias y carteras de criptomonedas, así como la exfiltración de todo tipo de archivos con interés para los atacantes. También se ha observado acceso a información almacenada en el llavero de macOS (Keychain) y a datos de navegadores como Safari, Chrome o Firefox, un conjunto de objetivos muy apetecible para campañas de fraude financiero y espionaje corporativo.
Otro punto delicado es la capacidad de instalar módulos adicionales bajo demanda. Este enfoque modular permite que el equipo comprometido se convierta en una especie de “navaja suiza” maliciosa: hoy el énfasis puede estar en recolectar contraseñas y, mañana, en registrar pulsaciones de teclado, cifrar ficheros, moverse lateralmente por una red corporativa o desplegar nuevas herramientas de acceso remoto.
Para usuarios y empresas en España y el resto de Europa, esta transición de un simple ladrón de datos a una plataforma flexible de control remoto supone un salto importante en el nivel de riesgo. Un Mac infectado deja de ser solo una fuente puntual de información robada para transformarse en puerta de entrada a redes empresariales, servicios en la nube o sistemas críticos a los que el dispositivo tiene acceso.
Este escenario encaja con una tendencia más amplia observada por distintas firmas de ciberseguridad: el aumento sostenido de infostealers y troyanos modulares orientados a macOS, impulsado por la creciente cuota de mercado de los equipos de Apple y por el perfil económico de sus usuarios, que los convierte en un objetivo especialmente atractivo para el fraude online.
Respuesta de Apple y límites de la protección automática en macOS
Tras los avisos de Jamf Threat Labs y otras empresas de seguridad, Apple ha revocado los certificados de firma de código asociados al Team ID utilizado en la campaña de MacSync Stealer. Con esta medida, el sistema operativo deja de confiar en las aplicaciones firmadas con ese identificador y bloquea las nuevas compilaciones que pretendan usarlo para distribuir software malicioso.
En paralelo, la compañía ha actualizado sus mecanismos internos de protección, como XProtect y Gatekeeper, con nuevas reglas de detección y listas de hashes y firmas conocidas. En las versiones actuales de macOS, estas listas negras se actualizan con frecuencia sin intervención del usuario, por lo que es clave mantener el sistema al día y aplicar las actualizaciones disponibles para beneficiarse de esos parches y mejoras.
Aun así, los expertos insisten en que el caso de MacSync Stealer ilustra una tendencia general del malware para macOS: los atacantes tratan cada vez más de encajar su código en ejecutables firmados y notariados, de forma que parezcan aplicaciones completamente legítimas y fiables. Si logran ese objetivo, la probabilidad de que el usuario reciba advertencias claras se reduce considerablemente.
Los informes de Jamf y de otras firmas subrayan que, incluso cuando Apple revoca certificados comprometidos, los ciberdelincuentes pueden registrar nuevos IDs de desarrollador y repetir la misma estrategia, adaptando pequeños detalles para esquivar las reglas recién añadidas. Ese juego del gato y el ratón obliga a complementar las defensas nativas de macOS con otras capas adicionales.
Este contexto refuerza la idea de que la seguridad no puede depender exclusivamente de las protecciones automáticas. Aunque Gatekeeper, XProtect y el proceso de notariado han elevado mucho el listón, ataques como el de MacSync Stealer demuestran que los mecanismos de confianza también pueden ser utilizados en contra de los usuarios cuando alguien consigue colar su app en la cadena de verificación.
Impacto en usuarios de Mac en España y Europa y buenas prácticas de protección
La expansión del Mac en oficinas, universidades y hogares de España y del resto de Europa ha incrementado su interés como objetivo para los grupos criminales. Ya no se trata de una plataforma minoritaria: cada vez más organizaciones integran macOS en sus infraestructuras, lo que convierte amenazas como MacSync Stealer en un problema de primer orden para la región.
Los especialistas recomiendan reforzar tanto la capa técnica como los hábitos cotidianos. La primera medida, aparentemente sencilla pero fundamental, es mantener macOS y las aplicaciones actualizadas y realizar respaldos regulares, ya que Apple introduce con frecuencia nuevas firmas y reglas de bloqueo para este tipo de amenazas. Ignorar las actualizaciones de seguridad deja la puerta abierta a variantes que ya han sido documentadas y parcheadas.
También se insiste en la importancia de limitar la instalación de software a la Mac App Store o a desarrolladores sobradamente conocidos. Aunque el instalador aparezca firmado y notariado, esa etiqueta ya no es una garantía absoluta de seguridad, como demuestra este caso. Descargar apps desde enlaces recibidos por correo, mensajería o páginas poco fiables aumenta de forma significativa el riesgo de infección.
Otra pieza clave es prestar atención a los permisos que solicita cada aplicación. Acceso al llavero, a los documentos del usuario, al historial del navegador o a las funciones de accesibilidad son autorizaciones que deberían concederse con cuentagotas, especialmente cuando se trata de utilidades gratuitas de procedencia dudosa. Muchas infecciones exitosas se apoyan precisamente en permisos excesivos que el propio usuario aceptó sin revisar.
En entornos profesionales, especialmente dentro de la Unión Europea, se aconseja complementar las defensas de Apple con soluciones de seguridad específicas para macOS, herramientas EDR y políticas claras de descarga e instalación de software. Este tipo de medidas resulta especialmente relevante para empresas sujetas a normativas de protección de datos, donde un incidente de robo de credenciales o exfiltración de información puede derivar en sanciones y pérdida de confianza.
Todo lo que rodea a MacSync Stealer muestra hasta qué punto el malware para Mac ha dejado de ser una rareza: los atacantes se apoyan en ejecutables firmados y notariados, inflan imágenes de disco con archivos señuelo, descargan cargas útiles de segunda fase desde servidores remotos y despliegan agentes capaces de robar datos y mantener control remoto sobre los equipos. En este panorama, la vieja idea de que “en Mac no hay virus” queda definitivamente atrás y la protección pasa por combinar las defensas nativas de Apple con buenas prácticas de uso y una vigilancia constante para evitar que el eslabón débil de la cadena sea precisamente nuestro ordenador.