Netcrook Logo
👤 TRUSTBREAKER
🗓️ 12 Feb 2026   🌍 North America

Macs bajo asedio: cómo los ciberdelincuentes secuestran ChatGPT y Google Ads para robar tu cripto

Antes considerados seguros, los Macs son ahora objetivos principales mientras los hackers convierten plataformas de IA y anuncios pagados en armas para propagar el info-stealer AMOS.

Durante años, los usuarios de Mac disfrutaron de una reputación de seguridad, creyendo que el malware era un problema exclusivo de Windows. Pero ese mito se está desmoronando rápidamente. Hoy, una nueva generación de ciberdelincuentes está convirtiendo las propias herramientas en las que confiamos - como ChatGPT y Google Ads - en vehículos de entrega para una sofisticada pieza de malware: el Atomic macOS Stealer (AMOS). Con lucrativas billeteras de criptomonedas en la mira, los atacantes libran una guerra silenciosa por tus datos más sensibles.

Datos rápidos

  • AMOS roba contraseñas, cookies y datos de billeteras cripto en Macs.
  • Los atacantes usan chats falsos de ChatGPT y anuncios de Google para engañar a los usuarios y hacerles ejecutar comandos maliciosos en Terminal.
  • Los anuncios pagados suelen aparecer en dominios legítimos como chatgpt.com, aumentando la confianza.
  • En mercados clandestinos se ofrecen asociaciones con AMOS, apuntando a extensiones cripto de Chrome y datos del Llavero de Apple.
  • El malware utiliza firmas de desarrollador de Apple robadas para evadir Gatekeeper e incluso oculta cargas maliciosas dentro de contratos en blockchain.

Anatomía de un ataque en Mac

Todo comienza con una búsqueda. Buscando un plugin de ChatGPT o una solución para un molesto problema de navegador, haces clic en el primer resultado - aparentemente un enlace patrocinado de un dominio confiable. Pero este no es un anuncio cualquiera. Detrás de escena, los ciberdelincuentes han creado chats falsos de ChatGPT o Grok, completos con convincentes guías paso a paso. Estas guías instan a los usuarios a pegar comandos en Terminal, disfrazados como actualizaciones esenciales o herramientas como “ChatGPT Atlas”.

Sin saberlo, los usuarios conceden acceso al malware, a menudo ingresando su contraseña de administrador. El stealer AMOS entra en acción, robando credenciales del navegador, datos de billeteras cripto e incluso contraseñas del Llavero de Apple. En algunos casos, instala una puerta trasera, dando a los atacantes control remoto y la capacidad de sobrevivir a reinicios.

La seguridad de Mac se ve aún más comprometida por certificados de desarrollador de Apple robados, permitiendo que el malware se haga pasar por software legítimo y pase desapercibido ante Gatekeeper. En un caso, una app Swift notariada dentro de un archivo DMG pasó inadvertida hasta que los reportes posteriores a la infección obligaron a Apple a revocar el certificado. Pero los atacantes simplemente cambian a nuevas credenciales robadas, manteniendo el ciclo activo.

El ecosistema criminal detrás de AMOS es sofisticado y colaborativo. En foros como BDFClub, los hackers reclutan abiertamente socios, ofreciendo repartos 50/50 de lo robado en cripto y permitiendo que los afiliados se queden con botines adicionales. Sus objetivos son estratégicos: extensiones cripto de Chrome como Ledger y Trezor, billeteras populares como MetaMask y Exodus, y el tesoro de contraseñas del Llavero de Apple.

Para evitar la detección, algunos grupos emplean trucos con blockchain - ocultando cargas maliciosas dentro de contratos inteligentes en la BNB Smart Chain. Este método, llamado “EtherHiding”, mezcla su tráfico con actividad legítima de Web3, evadiendo las herramientas de seguridad tradicionales.

¿Por qué la conexión Mac-Cripto?

Los usuarios de cripto suelen preferir Macs por su supuesta seguridad y diseño elegante. Pero con billeteras de alto valor y frases semilla irremplazables almacenadas localmente, los Macs se han vuelto objetivos irresistibles. AMOS está diseñado para extraer credenciales de billeteras, validar frases de recuperación e incluso permitir que algunas billeteras sigan funcionando normalmente tras el robo - retrasando la detección y maximizando las ganancias.

Los expertos advierten: desconfía siempre de comandos de Terminal provenientes de fuentes desconocidas, apps sin firmar que solicitan tu contraseña o enlaces de blockchain en aplicaciones que no son de cripto. Usa software antivirus de confianza y nunca pegues código que no comprendas completamente.

La nueva realidad

Los días de invulnerabilidad de Mac han terminado. AMOS y sus similares operan como empresas de software profesionales, con paneles de usuario y hojas de ruta de desarrollo. Si eres usuario de Mac - especialmente si te mueves en el mundo cripto - el único camino seguro es la vigilancia, el escepticismo y una buena dosis de sentido común digital.

WIKICROOK

  • Infostealer: Un infostealer es un malware diseñado para robar datos sensibles - como contraseñas, tarjetas de crédito o documentos - de computadoras infectadas sin que el usuario lo sepa.
  • Keychain: Keychain es el sistema de almacenamiento seguro de Apple para contraseñas y datos sensibles, que utiliza cifrado para proteger las credenciales del usuario en dispositivos macOS y iOS.
  • Gatekeeper: Gatekeeper es una función de seguridad de macOS que verifica la autenticidad de las apps descargadas y bloquea la ejecución de software potencialmente dañino en tu Mac.
  • Smart Contract: Un smart contract es un código autoejecutable en una blockchain que aplica reglas y procesos automáticamente, eliminando la necesidad de intermediarios.
  • Notarization: La notarización es el proceso de Apple para escanear y aprobar apps por seguridad, ayudando a prevenir que el malware se ejecute en Macs antes de su distribución.
Mac security Cybercrime Crypto theft
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news