Publicado: junio 2, 2026, 10:23 am
La frase «el mejor antivirus es el sentido común» ha sido mi mantra personal desde la época de Snow Leopard. La he repetido hasta la saciedad a amigos y familiares que llegaban al ecosistema Apple con el miedo en el cuerpo heredado de Windows. Durante quince años, macOS ha sido para mí una fortaleza donde Gatekeeper y XProtect hacían el trabajo sucio en silencio, permitiéndome vivir tranquilo sin software de terceros.
Pero las reglas del juego cambian. La última amenaza detectada no intenta derribar la puerta a patadas ni te pide que hagas trucos raros en la Terminal. Entra por la puerta principal, saludando al portero y con un pase VIP firmado, increíblemente, por la propia Apple.
El lobo con piel de cordero certificado por Apple
Lo que descubrió Jamf Threat Labs a finales de 2025 fue una evolución del malware conocido como MacSync Stealer. Hasta entonces, estos virus eran bastante torpes. Solían pedir al usuario que hiciera clic derecho para abrir archivos sospechosos o que pegara comandos extraños. Eran fáciles de detectar si tenías un mínimo de experiencia y, como dije al principio, sentido común.
{«videoId»:»x90pfao»,»autoplay»:true,»title»:»GUÍA de ESTAFAS: cómo evitar los timos de teléfono, whatsapp…», «tag»:»webedia-prod», «duration»:»695″}
La novedad fue que una nueva variante llegaba disfrazada como una aplicación legítima de mensajería, escrita en Swift nativo y, lo más grave, firmada con un Developer ID válido y notariada por Apple. Cuando descargabas el instalador, macOS no lanzaba ninguna advertencia. El sistema en el que confiamos le daba el visto bueno porque, sobre el papel, los documentos del desarrollador estaban en regla.
Apple revocó ese certificado en cuanto Jamf dio la voz de alarma. Caso cerrado, ¿verdad? No exactamente. Porque en febrero de 2026 ya había una nueva variante. Y en mayo de 2026, MacSync Stealer sigue activo.
La trampa de la «cáscara vacía»
Seguramente te preguntes: ¿cómo es posible que Apple analice una app, le ponga su sello de notariado y resulte ser un virus? La respuesta está en la sofisticación del ataque. Los creadores de este malware aprendieron a jugar con los tiempos.
La aplicación que te descargas e instalas es, en realidad, una cáscara casi vacía. Cuando Apple la revisa para notariarla, la app se comporta bien. No contiene código malicioso evidente. El proceso de notarización evalúa lo que existe en el momento de la entrega, no lo que la app puede recuperar después del lanzamiento.
El instalador mostraba que todo estaba correcto, con las autorizaciones de Apple
Una vez abierta en tu Mac, la app conecta con un servidor remoto y se descarga el código malicioso en ese momento. El virus no venía en la caja: la caja lo llama una vez ha pasado el control de seguridad. Y lo que hace cuando llega no es precisamente sutil: roba las contraseñas guardadas en el Keychain, las cookies de sesión de todos tus navegadores, claves SSH, credenciales de AWS, toda la carpeta local de Telegram…
Por qué Apple no puede ganar esta carrera sola
Aquí está el quid de la cuestión, y lo que me ha terminado de convencer: Apple revocó el certificado de diciembre de 2025, actualizó XProtect y, técnicamente, cubrió esa variante concreta. Pero los atacantes ya tenían nueva variante lista en febrero de 2026. Esta vez sin binarios que dejar en disco: el malware se ejecuta directamente en memoria usando AppleScript, un lenguaje firmado por la propia Apple, lo que hace que muchas herramientas de seguridad ni lo vean pasar.
Apple cierra una puerta, ellos consiguen un certificado nuevo y abren una ventana. Desde noviembre de 2025, MacSync Stealer ha pasado por tres arquitecturas distintas. Los dominios desde los que opera rotan continuamente. Es un negocio organizado, con modelo de suscripción para otros criminales, y en diciembre de 2025 una de sus campañas acumuló 18.000 clicks en apenas tres días.
He roto mi regla de oro: hola antivirus
El susto se me quedó en el cuerpo. El sistema «funciona», sí, pero los atacantes han encontrado la grieta perfecta entre la revisión de Apple y lo que la app hace después. Por eso, tras revisar varias opciones gratuitas, de las que ya hemos hablado alguna vez, decidí instalar Avast. Es un clásico del sector y me decanté por él por sus altas tasas de detección cercanas al 99%.
Necesitaba una capa de seguridad que no solo mirara si el certificado de Apple es válido, sino que analizara el comportamiento de lo que entra en mi Mac en tiempo real. Archivo a archivo. Carpeta a carpeta. Código a código.
Sé lo que muchos estaréis pensando, porque yo pensaba igual: «No quiero un antivirus porque me va a destrozar el rendimiento». Es un trauma que arrastramos de los ordenadores de hace una década, donde el antivirus se comía la mitad de los recursos.
Incluso haciendo un análisis profundo, Avast no consume más RAM que una app como Telegram
Afortunadamente, el hardware nos ha quitado esa excusa. Con la potencia de los chips Apple Silicon, la velocidad de los SSD actuales y la gestión de memoria unificada, el impacto de tener este escudo activo es, literalmente, imperceptible. Llevo días con él y el sistema vuela igual que siempre. No hay ventiladores sonando ni pelotas de playa girando.
Y no se trata de vivir con miedo, sino de adaptarse. Si los malos han aprendido a saltarse las credenciales de seguridad de Apple, y lo siguen haciendo cinco meses después con nuevas variantes, quizás el sentido común necesite un pequeño ayudante instalado en la barra de menús en forma de antivirus.
En Applesfera | Los 10 mejores antivirus para tu Mac, tanto gratis como de pago
En Applesfera | Nuevo macOS 27 – Todo lo que creemos saber sobre él
(function() {
window._JS_MODULES = window._JS_MODULES || {};
var headElement = document.getElementsByTagName(‘head’)[0];
if (_JS_MODULES.instagram) {
var instagramScript = document.createElement(‘script’);
instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’;
instagramScript.async = true;
instagramScript.defer = true;
headElement.appendChild(instagramScript);
}
})();
–
La noticia
Llevo años defendiendo que en Mac no hace falta antivirus. Una app con «pase VIP» me ha obligado tragarme mis palabras
fue publicada originalmente en
Applesfera
por
Guille Lomener
.
