Durante años, mucha gente creyó que los Mac estaban casi blindados frente al malware. Esa idea ya no alcanza. Los ciberdelincuentes están apuntando cada vez más a usuarios de macOS con campañas de ingeniería social, sitios falsos y anuncios patrocinados que parecen legítimos. El último caso se detectó en X, antes Twitter, donde una publicidad falsa intentó instalar software malicioso en ordenadores Apple.
La campaña fue descubierta por Jamf Threat Labs y afectaba a usuarios que veían un anuncio aparentemente normal de DynamicLake, una aplicación real para macOS que imita la Dynamic Island del iPhone en la zona del notch de los MacBook. El problema era el enlace: en lugar de llevar al sitio oficial, redirigía a una web falsa con un dominio muy parecido. El peligro estaba en una web que parecía legítima El engaño funcionaba porque mezclaba varios elementos convincentes. La app existe, las imágenes promocionales eran creíbles y el anuncio se difundió desde una cuenta verificada.
Para un usuario apurado, todo podía parecer normal. Pero al entrar en la página falsa, la víctima recibía instrucciones para abrir Terminal y ejecutar un comando de instalación. Ese método se conoce como ClickFix: una técnica de ingeniería social que convence al usuario de ejecutar manualmente el paso que infecta su propio equipo. Jamf ya había advertido este año sobre ataques de este tipo en macOS , incluso con variantes que intentaban evitar Terminal usando Script Editor.
En este caso, el supuesto instalador no descargaba DynamicLake, sino una carga maliciosa asociada a MacSync, una variante vinculada a Atomic Stealer. Jamf reportó el anuncio a X y la publicidad fue retirada, pero el episodio muestra un problema mayor: los anuncios patrocinados también pueden convertirse en puerta de entrada para malware si los controles fallan. Atomic Stealer no busca romper el Mac: busca robarlo por dentro Atomic Stealer, también conocido como AMOS, es una familia de malware diseñada para robar información de sistemas macOS. Su objetivo no es necesariamente bloquear el equipo o hacerlo inutilizable, sino extraer datos valiosos de forma silenciosa: contraseñas, cookies del navegador, información del sistema, archivos, credenciales y billeteras de criptomonedas.
Ese tipo de amenaza es especialmente peligrosa porque muchas veces el usuario no nota nada raro al principio. El equipo puede seguir funcionando con normalidad mientras el malware recopila información que luego se usa para robar cuentas, vaciar wallets, acceder a servicios o vender datos en mercados clandestinos. Interesting to see ClickFix-style techniques now appearing in sponsored advertisements on X. While investigating a sponsored advertisement on X promoting DynamicLake, we found it redirected users to dynamicmacisland[.]com, where they were instructed to open Terminal and execute… pic.twitter.com/n5MOh1oTp5 Jamf Threat Labs (@JamfThreatLabs) June 29, 2026 El caso de DynamicLake tampoco es aislado.
Jamf ya había analizado falsificaciones de esta misma categoría de apps para macOS, incluyendo campañas que se hacían pasar por utilidades relacionadas con la Dynamic Island. En 2025, la firma investigó DigitStealer, un infostealer que también se distribuía bajo la apariencia de una versión falsa de DynamicLake. La recomendación es simple, pero cada vez más importante: no descargar aplicaciones desde anuncios patrocinados, aunque aparezcan en plataformas conocidas o desde cuentas verificadas. Lo más seguro es ir directamente a la web oficial del desarrollador , escribir la dirección manualmente o buscar la aplicación en la Mac App Store cuando esté disponible.
También conviene desconfiar de cualquier instalación que pida copiar y pegar comandos en Terminal sin una explicación técnica clara. Para un usuario común, ese paso debería ser una señal de alerta inmediata. Si una app legítima necesita instalarse, lo normal es que ofrezca un instalador firmado, documentación clara y una fuente verificable. Los anuncios de X no son peligrosos por definición, pero este caso demuestra que la apariencia de legitimidad ya no basta.
En una campaña bien montada, una cuenta verificada, una app real y una web parecida pueden ser suficientes para que alguien instale malware sin darse cuenta. En internet, el nuevo consejo no es solo “no hagas clic en enlaces raros”. Es algo más concreto: no confíes en un anuncio solo porque parece oficial. Fuente: Hipertextual.