Desde que empezó a circular la versión candidata de macOS Tahoe 26.4, varios usuarios han notado un cambio sutil pero relevante en la forma en que el sistema trata los comandos pegados en Terminal. Según los reportes, el sistema ahora pausa la ejecución cuando detecta que el contenido pegado podría ser peligroso y muestra una advertencia que explica por qué esa acción podría suponer un riesgo para el equipo. No es un bloqueo absoluto, sino una intervención diseñada para frenar ataques basados en ingeniería social.
Esta medida no fue detallada en las notas oficiales de la actualización, aunque Apple sí publicó las notas de la versión en su portal para desarrolladores (macOS Tahoe 26.4 release notes). La aparición de la nueva alerta fue documentada por usuarios en foros y redes sociales, por ejemplo en un hilo de la comunidad de macOS Beta en Reddit (reportes en Reddit) y en publicaciones individuales en X (un ejemplo de usuario que investigó el comportamiento).
El objetivo aparente de este cambio es frenar lo que la comunidad de seguridad conoce como ataques ClickFix: técnicas de manipulación que incitan a la víctima a copiar y pegar una orden en la terminal con la promesa de "arreglar" algo o de verificar una cuenta. Al ser la propia víctima quien introduce el comando, muchas defensas automatizadas quedan soslayadas y el código malicioso se ejecuta con los permisos del usuario. La intervención de macOS intenta romper ese eslabón: interrumpir la inercia del pegado y forzar una pausa reflexiva.
Según las observaciones públicas, cuando el sistema detecta un pegado de un comando desde Safari hacia Terminal muestra un cuadro que avisa que la ejecución fue detenida y que no se ha producido daño. La alerta también explica, de forma general, que los estafadores suelen distribuir instrucciones peligrosas por mensajes, foros o extensiones maliciosas. Los usuarios pueden optar por no continuar, o bien ignorar la advertencia y proseguir si saben exactamente qué hace la orden.
Los reportes no son unánimes en cuanto a su funcionamiento interno. Algunos probadores afirman que la advertencia aparece sólo una vez por sesión, porque después de ver varias órdenes peligrosas como sudo rm -rf / dejaron de recibir avisos. Otros han sugerido que el sistema realiza algún tipo de análisis heurístico, ya que comandos inocuos no activan la alerta. Apple, hasta ahora, no ha publicado un documento de soporte que describa cómo detecta y clasifica esos pegados como riesgosos, y medios especializados han intentado recabar más información contactando directamente con la compañía (BleepingComputer está entre los que han informado y buscado respuestas).
En el terreno de la seguridad no existen soluciones mágicas: esta advertencia es bienvenida, pero no debe ser una excusa para bajar la guardia. Queda por clarificar qué señales utiliza macOS para disparar la alerta —si se basa en la procedencia del texto, en patrones dentro de la cadena pegada o en otra telemetría— y si esas reglas podrán ser eludidas por atacantes más sofisticados. Por eso los expertos siguen recomendando precaución a la hora de ejecutar instrucciones copiadas de internet.
Si trabajas con Terminal y quieres reducir el riesgo, hay prácticas sencillas que ayudan a evitar caer en trampas: revisar cuidadosamente cada comando antes de ejecutarlo, pegar primero en un editor de texto para inspeccionar su contenido, desconfiar de soluciones “mágicas” compartidas en redes y foros, y preferir operaciones con cuentas sin privilegios elevados cuando sea posible. Siempre que una instrucción provenga de una fuente no verificada, lo más prudente es no ejecutarla.
El cambio de Apple pone la atención donde debe estar: en dar tiempo al usuario para pensar antes de ejecutar código que podría comprometer el sistema. No obstante, la comunidad de seguridad seguirá vigilante y los usuarios deberían mantener una actitud activa de verificación. Para quienes quieran seguir el desarrollo de esta función y leer los reportes de quienes ya la han probado, las entradas de la comunidad y las notas de Apple son buenos puntos de partida: la mencionada conversación en Reddit está disponible en ese hilo, y la documentación oficial se puede consultar en las notas de la versión. Además, los medios especializados como BleepingComputer han cubierto los reportes iniciales y están en contacto con Apple para obtener aclaraciones.
En definitiva, la novedad de macOS Tahoe 26.4 es un avance interesante en la protección frente a trampas basadas en copiar y pegar. Es una capa más de defensa orientada al factor humano, no la panacea final, y conviene combinarla con buenos hábitos, escepticismo ante instrucciones externas y, cuando sea necesario, buscar asesoría técnica antes de ejecutar comandos que no se entiendan por completo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...