El infostealer Atomic macOS Stealer se convirtió en una de las amenazas más relevantes contra macOS porque no siempre necesita romper el sistema: le basta con engañar al usuario, explica Metro World News.
Durante años, muchos usuarios creyeron que tener una Mac era suficiente para estar a salvo de virus y malware, el avance de AMOS, también conocido como Atomic macOS Stealer, demuestra que esa idea ya no alcanza para proteger contraseñas, sesiones abiertas, datos de navegación y billeteras de criptomonedas.
La amenaza no opera como el viejo virus que el usuario imaginaba entrando por una falla evidente del sistema, en muchas campañas, el ataque empieza con una trampa más simple: una página falsa, una supuesta solución técnica o un resultado manipulado en buscadores que pide copiar y pegar un comando en la Terminal de Mac.
Si la persona ejecuta ese comando y después introduce su contraseña de administrador, el malware puede avanzar con permisos suficientes para buscar información sensible dentro del equipo, y ahí está el punto crítico: AMOS explota la confianza del usuario y no solo una debilidad técnica de macOS.
Firmas de ciberseguridad como Sophos, Microsoft, CrowdStrike y Huntress documentan campañas recientes contra usuarios de macOS, incluidas variantes que usan señuelos de inteligencia artificial, falsos tutoriales, instaladores maliciosos y tácticas conocidas como ClickFix, donde la víctima cree que está arreglando un error del navegador o del sistema.
Cómo entra AMOS
AMOS es un infostealer, es decir, un tipo de malware diseñado para robar información, su nombre técnico más conocido es Atomic macOS Stealer y está enfocado en equipos con macOS.
En sus primeras campañas fue asociado con descargas falsas, aplicaciones pirata, supuestos cracks y sitios que imitaban software legítimo.
Con el tiempo, el engaño se volvió más sofisticado y comenzó a apoyarse en búsquedas manipuladas, anuncios maliciosos y páginas que simulan ofrecer ayuda técnica.
Una de las tácticas más peligrosas es el uso de falsos mensajes tipo ClickFix, el usuario entra a una página que aparenta ser confiable y recibe una instrucción para abrir Terminal y pegar una línea de comando con el pretexto de solucionar un problema.
El riesgo aumenta porque la instrucción no parece una descarga tradicional, la víctima siente que está aplicando una solución técnica, cuando en realidad está activando la cadena de infección.
Qué puede robar
Una vez dentro del sistema, AMOS puede buscar datos guardados en navegadores como Chrome, Safari o Firefox. Entre los objetivos están contraseñas, cookies de sesión, historiales de autocompletado y credenciales que permiten mantener abiertas cuentas sin volver a iniciar sesión.
También puede apuntar contra datos más sensibles, como llaves privadas, frases semilla y archivos vinculados con billeteras de criptomonedas. Para los usuarios de activos digitales, esto es una amenaza de alto impacto financiero.
Microsoft advierte que las campañas recientes contra macOS no solo buscan contraseñas, también pueden recolectar secretos de navegador, datos de sesión, información del llavero de macOS y credenciales usadas en entornos de desarrollo.
Sophos identificó a AMOS como una de las familias de malware más relevantes en su telemetría de macOS durante 2025. La firma reportó que estuvo vinculada con casi 40% de sus actualizaciones de protección para macOS y con casi la mitad de los reportes recientes de stealers en esa plataforma entre sus clientes.
Por qué Apple no basta
Apple cuenta con controles de seguridad integrados en macOS, como Gatekeeper, Notarization y XProtect, diseñados para reducir la distribución, ejecución y permanencia de software malicioso conocido.
El problema es que campañas como las de AMOS no dependen únicamente de evadir esas barreras por fuerza técnica, muchas buscan que el propio usuario autorice pasos críticos, ejecute comandos o entregue su contraseña de administrador.
Eso no significa que macOS sea inseguro por defecto, sino que el modelo de ataque cambió, la puerta de entrada ya no siempre está en una aplicación sospechosa descargada por error, sino en una instrucción aparentemente útil que llega desde una página falsa o un resultado de búsqueda contaminado.
CrowdStrike también documentó una variante llamada SHAMOS, vinculada con campañas que intentaron comprometer más de 300 entornos entre junio y agosto de 2025, lo que confirma que los ataques contra Mac ya forman parte del panorama regular de amenazas.
Cómo proteger tu Mac
La regla más importante es no copiar ni pegar comandos en Terminal si no entiendes exactamente qué hacen y de dónde vienen.
Ninguna alerta de navegador debería pedirte abrir la Terminal de Mac para resolver un supuesto problema urgente.
También es clave evitar descargas desde sitios no oficiales, cracks, instaladores pirata y páginas que prometen versiones gratuitas de software de paga.
Muchas campañas de infostealers se apoyan justamente en usuarios que buscan herramientas rápidas sin verificar la fuente.
Otra medida útil es revisar con calma las direcciones web antes de descargar cualquier archivo, desconfiar de anuncios patrocinados que aparecen por encima del sitio oficial y entrar directamente a las páginas legítimas de Apple, desarrolladores o servicios reconocidos.
Mantener macOS actualizado sigue siendo necesario, pero no suficiente. La protección también depende de usar autenticación de dos factores, gestores de contraseñas confiables, respaldo de información importante y soluciones de seguridad capaces de detectar actividad sospechosa en el equipo.
Señales de alerta
Si una página te pide pegar un comando en Terminal, cerrar advertencias de seguridad, introducir tu contraseña del sistema fuera de una acción normal o instalar un archivo DMG desde una fuente desconocida, lo más seguro es detenerte.
También conviene revisar extensiones del navegador, eliminar aplicaciones que no reconozcas y cambiar contraseñas si sospechas que ejecutaste un comando dudoso o descargaste un instalador falso.
En caso de una posible infección, lo recomendable es desconectar el equipo de internet, no iniciar sesión en cuentas sensibles desde esa Mac, cambiar contraseñas desde otro dispositivo confiable y pedir apoyo técnico especializado.