Una nueva campaña dirigida a usuarios de macOS ha vuelto a poner el foco en una técnica de ingeniería social que explota una aplicación de confianza del sistema: el Script Editor. Investigadores de seguridad han observado que atacantes están usando páginas web con apariencia legítima —normalmente guías para liberar espacio en disco o mejorar el rendimiento del Mac— para inducir al navegador a abrir enlaces especiales que lanzan Script Editor con código ya insertado. El resultado: el usuario ve una ventana de una app nativa aparentemente inocua, pero detrás se esconde la ejecución de comandos que descargan y lanzan malware sin pasar por un Terminal explícito.
Script Editor es una herramienta preinstalada en macOS diseñada para crear y ejecutar AppleScript y JXA, y por eso goza de privilegios y confianza del sistema. Esa confianza es precisamente la que aprovechan los atacantes: en lugar de pedir al usuario que copie y pegue líneas en Terminal —la táctica clásica conocida como ClickFix— ahora se usa el esquema de URL de AppleScript para abrir Script Editor con un script malicioso ya cargado. Al aceptar la apertura, el código puede ejecutar una cadena ofuscada tipo “curl | zsh” que descarga y ejecuta scripts directamente en memoria, descifra cargas útiles comprimidas, escribe binarios temporales, elimina atributos de seguridad con xattr y arranca el ejecutable final.
En esta campaña concreta los investigadores de Jamf identificaron como carga útil final un binario Mach-O conocido como Atomic Stealer (también referido como AMOS), un malware of-the-shelf que ha aparecido repetidamente en campañas tipo ClickFix durante el último año. Atomic Stealer está diseñado para extraer información sensible del sistema: datos almacenados en el Llavero (Keychain), contenidos del escritorio, extensiones de monederos de criptomonedas en el navegador, autocompletado, contraseñas, cookies, tarjetas guardadas y otra información de sistema. Informes recientes también señalan que los operadores han añadido componentes de puerta trasera para mantener acceso persistente a los equipos comprometidos.
La sutileza de la variación actual es que el usuario no necesariamente tiene que interactuar con Terminal para que el ataque funcione: Script Editor, por su propia naturaleza, puede servir como vector de ejecución cuando se le suministra código desde una URL. Por eso algunas medidas añadidas por Apple en versiones recientes de macOS buscan frenar estos engaños mostrando advertencias cuando se intenta ejecutar comandos desde Terminal o aplicaciones relacionadas; aunque esas protecciones ayudan, no eliminan por completo el riesgo si la víctima concede permisos o confirma la apertura de un script confiando en el contenido de la página.
Si recibes una guía en línea sobre mantenimiento del sistema que te invita a “ejecutar un comando” o a abrir un script, trátala con sospecha. Las páginas maliciosas suelen imitar la estética y el lenguaje de recursos de ayuda legítimos para bajar la guardia: iconografía de Apple, capturas de pantalla y pasos aparentemente razonables. La recomendación general es acudir únicamente a documentación oficial para problemas del sistema; el sitio de soporte de Apple sobre Script Editor puede ayudarte a entender la finalidad real de esa herramienta: support.apple.com — Script Editor. Para consultas y soluciones entre usuarios, la comunidad oficial de Apple también existe, aunque conviene recordar que los foros no están exentos de riesgo: Apple Support Communities.
En entornos corporativos y para administradores, usar soluciones de gestión y protección de endpoints reduce la probabilidad de infección y facilita la detección de comportamientos anómalos; para usuarios domésticos, mantener el sistema actualizado y desconfiar de “trucos rápidos” para recuperar espacio o acelerar el equipo es la defensa más efectiva. Además, si sospechas que tu equipo ha sido comprometido, conviene desconectarlo de redes, revisar procesos con Activity Monitor, y solicitar el apoyo de profesionales o herramientas de seguridad para realizar un análisis forense y limpieza.
La reutilización de aplicaciones legítimas por parte de atacantes no es una novedad, pero sí un recordatorio de que la superficie de ataque cambia con la creatividad de los ciberdelincuentes. Tratar los avisos de Script Editor como potencialmente peligrosos y verificar la procedencia de cualquier instrucción técnica es, por ahora, la solución más práctica para no caer en estas trampas.
Para ampliar información sobre cómo Apple y la comunidad de seguridad están respondiendo a estas variantes de ClickFix y campañas con info-stealers, pueden consultarse investigaciones y reportes periodísticos recientes; una cobertura que sintetiza la introducción de advertencias por parte de Apple se puede leer en BleepingComputer, y el análisis técnico de la campaña con Atomic Stealer fue publicado por Jamf.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...