¿Has buscado cómo liberar espacio en tu Mac y te ha salido un chat de IA que promete arreglarlo en dos clics? Cuidado, ya que detrás de esa promesa rápida puede esconderse una campaña que instala malware en macOS. La detectaron investigadores de Kaspersky en una publicación con fecha de 9 de diciembre y, posteriormente, Huntress añadió más detalles.
Los anuncios de Google redirigen a supuestas conversaciones con ChatGPT o Grok que, paso a paso, empujan a ejecutar comandos peligrosos. El objetivo final es colar AMOS, un malware con capacidad para robar contraseñas, cookies y carteras de criptomonedas. Aquí te contamos cómo funciona el truco y, sobre todo, qué hacer para no picar.
¿Por qué hay anuncios falsos que imitan ChatGPT y Grok?
Los ciberdelincuentes están aprovechando el tirón de la Inteligencia Artificial para colar enlaces a golpe de clic; lo que parece gratis puede salir caro. Esta técnica se apoya en anuncios que imitan conversaciones reales con bots populares para dar confianza y, de paso, hacer que el usuario baje la guardia.
Según el aviso inicial (9 de diciembre) y la ampliación posterior, el ataque se centra en macOS y aparece cuando se buscan cosas tan comunes como resolver problemas, hacer mantenimiento o usar Atlas, el navegador con IA de OpenAI. Hablamos de resultados de búsquedas envenenados: anuncios que te llevan a sitios maliciosos y que aparecieron para términos como “borrar datos del sistema en iMac”, “cómo borrar datos en iMac” o “liberar almacenamiento en Mac”.
¿Cómo funciona el ataque ClickFix en macOS paso a paso?
Este esquema es de tipo ClickFix: una técnica que empuja al usuario a “arreglar” algo siguiendo pasos guiados y, sin darse cuenta, ejecutar acciones inseguras. Todo comienza al pulsar un anuncio que muestra una supuesta conversación con IA; ahí se ofrecen instrucciones que piden copiar y pegar comandos en la Terminal de macOS.
Cuando la víctima ejecuta esos comandos, una URL codificada en base64 (un método de codificación de texto) se decodifica en un script bash (un archivo de órdenes). Ese script muestra un cuadro de contraseña falso; si introduces la clave, la valida, la guarda y la usa para ejecutar comandos con privilegios elevados (permisos de administrador). Por tanto, se descarga y ejecuta AMOS con control de administrador, con capacidad para robar información y permanecer en el sistema.
¿Qué datos roba AMOS y por qué es peligroso?
Los investigadores señalan que AMOS tiene capacidades de filtración de datos orientadas a obtener control del equipo y acceso a cuentas. En otras palabras, no es un susto menor: apunta a lo que más duele, desde contraseñas hasta tus activos digitales.
| Tipo de dato | Objetivo específico | Riesgo para la víctima |
|---|---|---|
| Credenciales de Sistema | Contraseña de administrador de macOS y datos del Llavero (Keychain) | Control total del dispositivo, acceso a todas las cuentas. |
| Datos de Navegador | Cookies, contraseñas guardadas, historial y datos de autocompletar (Chrome, Firefox, Safari) | Robo de identidad, acceso a redes sociales, email, banca online. |
| Carteras de Criptomonedas | Ficheros de carteras como Exodus, Atomic, MetaMask, etc. | Robo directo de activos digitales. |
| Ficheros del Usuario | Acceso a documentos, imágenes y otros ficheros en el escritorio y carpetas personales. | Extorsión, robo de información confidencial. |
Además, esta amenaza puede hacerse con la clave del Wi-Fi, lo que abriría la puerta a que un atacante entre en tu red y a tus servicios online. Por consiguiente, si te pilla con la guardia baja, el daño puede ser tanto técnico como económico.
¿Cómo protegerte para no caer en la trampa?
La defensa empieza por el sentido común: desconfía de los “atajos” milagrosos y de las soluciones demasiado bonitas para ser verdad. ¿La regla de oro? Nunca ejecutes comandos de Terminal que te proponga una web o un supuesto chat sin verificar a conciencia su origen.
- Desconfía de anuncios en búsquedas que prometen arreglos rápidos o automáticos.
- No ejecutes comandos de Terminal sugeridos por páginas o chats; son un atajo al desastre.
- Revisa siempre la URL antes de abrirla y evita descargas si no estás 100% seguro de la fuente.
- No abras adjuntos ni descargues software recibido por correo sin verificarlo.
- Instala y configura un buen antivirus; opciones como Avast, Bitdefender o Microsoft Defender funcionan bien.
- Mantén macOS y tus programas actualizados para cerrar vulnerabilidades.
- Revisa tu dispositivo con atención si sospechas: configuración, apps instaladas y actividad reciente.
En resumen, la primera barrera eres tú: prudencia al navegar, software de seguridad bien configurado y todo al día. Y, por favor, no regales tu contraseña a una ventana sospechosa como si fuese una promoción de fin de semana; en seguridad, lo barato sale caro.