Una nueva variante del malware MacSync especializado en robar información ha encendido las alarmas en el ecosistema macOS. La amenaza, que ya ha provocado pérdidas de criptoactivos a algunos usuarios, destaca porque consigue ejecutar código malicioso haciéndose pasar por una aplicación legítima y firmada, logrando así sortear las protecciones integradas de Apple.
Según distintas investigaciones de laboratorios de seguridad, entre ellos Jamf Threat Labs y firmas centradas en el mundo cripto como SlowMist, este MacSync de última generación aprovecha el proceso de firma y notarización de Apple para ganar la confianza del sistema operativo. El resultado es especialmente preocupante para usuarios de Europa y España que gestionan credenciales, datos sensibles o carteras de criptomonedas desde sus Mac, convencidos de que Gatekeeper y la notarización eran un escudo suficiente.
Un ladrón de información cada vez más sofisticado
Los analistas describen esta variante como un info‑stealer centrado en macOS capaz de recolectar una amplia gama de datos. Entre los objetivos confirmados se encuentran las credenciales almacenadas en el llavero de iCloud, las contraseñas guardadas en navegadores, metadatos del sistema, archivos seleccionados del disco e información de monederos de criptomonedas y extensiones asociadas.
MacSync no es nuevo: apareció por primera vez alrededor de abril de 2025 bajo el nombre Mac.C, vinculado a un actor conocido como “Mentalpositive” en foros de ciberdelincuencia. A partir del verano empezó a ganar tracción, situándose en el todavía reducido, pero rentable, mercado de ladrones de información para macOS junto a familias como AMOS u Odyssey.
Informes previos, como el de la división Moonlock de MacPaw, ya advirtieron de su capacidad para extraer datos de criptobilleteras locales, documentos y credenciales de servicios en la nube. La última variante mantiene ese foco, pero refuerza sobre todo la parte de evasión y sigilo, elevando el listón de la amenaza para usuarios domésticos y empresas.
En el contexto europeo, donde el uso de Mac es especialmente elevado en sectores creativos, tecnológicos y financieros, un stealer con este alcance supone un riesgo directo para la protección de datos, el cumplimiento del RGPD y la salvaguarda de activos digitales de alto valor.
Cómo consigue saltarse Gatekeeper y la notarización
El cambio clave respecto a generaciones anteriores es el método de distribución. En lugar de depender de trucos de ingeniería social del tipo “arrastrar al Terminal” o guías para ejecutar scripts a mano, la campaña actual entrega MacSync dentro de una aplicación Swift firmada y notarizada, empaquetada en una imagen de disco (DMG) que se presenta como un instalador legítimo.
Jamf detalla que uno de los paquetes analizados llega en un archivo llamado “zk-call-messenger-installer-3.9.2-lts.dmg” distribuido desde un sitio web aparentemente legítimo. Dentro se incluye una app universal Mach-O, con firma válida y un ticket de notarización aprobado por Apple en el momento del análisis, asociada al Team ID GNJLS3UYZ4.
Gracias a esa firma y notarización, el instalador consigue pasar los controles de Gatekeeper sin levantar sospechas. El usuario ve un software que macOS reconoce como verificado, lo que reduce al mínimo las alertas y la fricción a la hora de abrirlo. Una vez ejecutado, la aplicación actúa como un “dropper”: descodifica y despliega la carga maliciosa, que contiene el stealer propiamente dicho.
Tras recibir la notificación de los investigadores, Apple habría procedido a revocar el certificado vinculado a esta campaña. Sin embargo, el incidente demuestra que los atacantes son capaces de obtener firmas válidas, adaptarse con rapidez y abusar de los mecanismos de confianza que Apple diseñó precisamente para proteger a los usuarios.
Técnicas de evasión: archivos hinchados, borrado de huellas y ejecución en memoria
Más allá de la firma y la notarización, MacSync incorpora varias capas de evasión pensadas para esquivar tanto análisis automatizados como herramientas de seguridad tradicionales. Una de las tácticas más llamativas es el “file bloat”: los atacantes inflan el tamaño de la imagen DMG hasta unos 25,5 MB insertando PDFs señuelo u otros ficheros inofensivos, de forma que el código malicioso quede diluido en un volumen aparentemente legítimo.
Otra medida frecuente es el borrado sistemático de los scripts utilizados en la cadena de ejecución. Una vez que el dropper ha hecho su trabajo y el payload se ha puesto en marcha, los guiones intermedios se eliminan del sistema, reduciendo enormemente los rastros que un analista forense podría localizar posteriormente en disco.
Los investigadores también han observado comprobaciones de conectividad a Internet antes de activar por completo la carga. Si el malware detecta que no hay acceso a la red o que se encuentra en un entorno sospechoso —por ejemplo, una sandbox aislada sin tráfico real— puede modificar su comportamiento o directamente no ejecutar ciertas partes, con el objetivo de frustrar el análisis.
Buena parte de la lógica dañina se ejecuta en memoria, con la aplicación Swift actuando como vehículo inicial. Esto complica la labor de antivirus y soluciones EDR que dependen en gran medida de escaneos basados en archivos o firmas estáticas. Desde Jamf señalan que la combinación de app firmada, dropper en memoria y borrado de evidencias refleja un salto en sofisticación respecto a las primeras campañas de MacSync.
Robo de criptomonedas y credenciales: el botín principal
Una de las consecuencias más graves de esta campaña es el robo directo de activos digitales, especialmente criptomonedas. SlowMist, a través de su director de seguridad, ha confirmado que varios usuarios ya han sufrido pérdidas de fondos tras infectarse, sin que mediase un ataque a exchanges ni un acceso forzado a sus cuentas: los atacantes simplemente se hicieron con las claves y datos de recuperación desde los dispositivos comprometidos.
El stealer está diseñado para extraer información de monederos locales, extensiones de navegador y aplicaciones de escritorio que gestionan criptoactivos. Una vez que obtiene semillas, claves privadas o frases de recuperación, los delincuentes pueden vaciar las carteras en pocos minutos, sin posibilidad real de revertir las transacciones, algo especialmente crítico para inversores y empresas europeas con tesorería en cripto.
Junto a los monederos, MacSync apunta al llavero de iCloud, donde muchos usuarios almacenan contraseñas de servicios bancarios, correo y plataformas corporativas. También se dirige a credenciales de navegadores, sesiones guardadas y archivos que puedan contener información empresarial sensible. El riesgo no se limita, por tanto, al bolsillo del usuario, sino que alcanza a la seguridad de cuentas y datos de terceros.
En España, donde el interés por las criptomonedas se ha disparado en los últimos años y es habitual operar desde el portátil personal, la combinación de MacSync y malas prácticas de custodia multiplica las posibilidades de sufrir un robo silencioso. Muchos afectados no son conscientes de la intrusión hasta que revisan el saldo de su monedero o reciben avisos inusuales de inicio de sesión.
MacSync y el contexto de amenazas en macOS en Europa
La evolución de MacSync encaja en una tendencia más amplia: macOS ha dejado de ser un blanco “secundario” para los ciberdelincuentes. El crecimiento de la cuota de mercado de Apple en Europa, unido a la percepción de que “en Mac no entra malware”, ha generado un ecosistema apetecible para campañas dirigidas y robos de alto valor.
Distintos informes recientes señalan un aumento de stealers y troyanos que se apoyan en aplicaciones supuestamente legítimas, software “crackeado” o instaladores disfrazados de herramientas de productividad. Familias como AMOS, Odyssey o el propio MacSync se comercializan en foros clandestinos como servicios listos para usar, reduciendo la barrera de entrada para atacantes con poca experiencia técnica.
En países de la UE donde la adopción de Mac en empresas creativas, medios de comunicación, despachos profesionales o startups tecnológicas es muy alta, un compromiso de este tipo puede convertirse en la puerta de entrada a redes corporativas completas. El uso de apps firmadas y notarizadas complica además la tarea de los equipos de TI, que a menudo confían en la firma como principal indicador de fiabilidad.
Medios y portales especializados europeos han empezado a dedicar espacio a esta variante de MacSync, subrayando que las protecciones de Apple —Gatekeeper, notarización, XProtect— son necesarias pero no suficientes si el usuario sigue instalando software desde fuentes no verificadas o ignora las señales de alerta más básicas.
Lecciones para usuarios y empresas en España y la UE
Los expertos coinciden en que el caso MacSync debe servir como aviso para replantear ciertas costumbres de instalación y administración de software. Para usuarios domésticos, la primera recomendación es evitar en la medida de lo posible descargar aplicaciones, plugins o instaladores desde páginas web desconocidas, enlaces que circulan por redes sociales o sitios de descargas no oficiales.
Incluso cuando un instalador aparece como “seguro” ante macOS por estar firmado y notarizado, conviene preguntarse si la fuente tiene buena reputación, si realmente necesitamos esa herramienta y si existe alternativa en la Mac App Store o en la web oficial del desarrollador. Desconfiar de supuestos parches milagrosos, versiones “gratuitas” de apps de pago o actualizaciones que no hayamos solicitado puede evitar más de un disgusto.
En el caso de quienes gestionan criptomonedas desde el Mac, las recomendaciones van un paso más allá: almacenar el grueso de los fondos en hardware wallets, utilizar carteras de solo lectura en el equipo principal y separar, en la medida de lo posible, el entorno de navegación diaria del dispositivo donde se firman transacciones.
Para empresas españolas y europeas, MacSync deja claro que no basta con confiar en los controles nativos de Apple para proteger un parque de Macs. Es crucial desplegar soluciones de seguridad de endpoint con capacidades de análisis de comportamiento, revisar las políticas de ejecución de software (por ejemplo, limitando la instalación a apps de confianza y repositorios aprobados) y monitorizar conexiones salientes sospechosas hacia servidores de comando y control.
El reto para Apple y el futuro de la seguridad en macOS
Los comentarios del propio autor de MacSync en entrevistas con investigadores indican que las decisiones de Apple sobre notarización influyeron directamente en el diseño del malware. El endurecimiento de las políticas en macOS 10.14.5 y posteriores obligó a los atacantes a buscar nuevas vías para mantener la tasa de infección, acabando por adoptar la misma ruta que los desarrolladores legítimos: el envío de apps para su revisión y firma.
Este juego del gato y el ratón evidencia que la notarización, por sí sola, no puede ser el punto final de la estrategia de seguridad. Aunque Apple realiza análisis automáticos y revoca certificados cuando detecta abusos, los intervalos entre la aparición de una nueva variante y su bloqueo efectivo siguen siendo una ventana que los grupos criminales aprovechan para distribuir el malware.
Diversos expertos en ciberseguridad abogan por reforzar los mecanismos de detección basada en comportamiento y telemetría en tiempo real, integrados en el propio sistema operativo. También señalan la conveniencia de mejorar la visibilidad y las herramientas de control para administradores en entornos empresariales, de forma que puedan establecer listas blancas más estrictas y reglas de ejecución más avanzadas.
Al mismo tiempo, la comunidad de seguridad —incluyendo proveedores de gestión de dispositivos Apple y laboratorios especializados— está incrementando la colaboración con la compañía, compartiendo indicadores de compromiso y patrones de ataque para acelerar la respuesta ante campañas como la de MacSync. La rapidez con la que se revocó el certificado asociado a esta variante es una muestra de esa coordinación, aunque el objetivo sigue siendo acortar aún más los tiempos de reacción.
Todo lo ocurrido con MacSync demuestra que el ecosistema macOS, por muy protegido que esté, no es inmune a amenazas que saben jugar con sus propias reglas: un malware capaz de presentarse como una app Swift firmada y notarizada, de inflar sus instaladores con archivos señuelo, borrar sus rastros y robar desde contraseñas hasta criptomonedas obliga tanto a Apple como a usuarios y empresas en España y el resto de Europa a dar un paso adelante en hábitos, controles y tecnología de defensa si no quieren enterarse del ataque solo cuando ya es demasiado tarde.
