Durante años hemos vivido con la idea de que tener un equipo de Apple era como vivir en una urbanización con seguridad privada las veinticuatro horas; un sitio donde los virus no pasaban de la puerta. Sin embargo, el panorama ha dado un vuelco importante con la expansión de AMOS, un código malicioso diseñado específicamente para desvalijar los sistemas macOS. Este malware, que los expertos conocen técnicamente como Atomic macOS Stealer, ha demostrado que no necesita encontrar una grieta en las paredes del sistema operativo, sino que le basta con que nosotros mismos le abramos la puerta de casa con total confianza.
La situación en Europa y especialmente en España está despertando las alarmas de las principales firmas de ciberseguridad, ya que los atacantes han empezado a pulir sus tácticas de ingeniería social para que caigamos en la trampa sin sospechar lo más mínimo. Ya no estamos ante el típico correo mal redactado que huele a estafa desde lejos, sino ante campañas muy sofisticadas que suplantan herramientas de productividad o servicios de inteligencia artificial. El problema ha crecido tanto que, según los informes de telemetría de este 2026, casi la mitad de los robos de datos en entornos Apple tienen el sello de este dichoso software, lo que deja claro que el cuento de la inmunidad de Mac ya no se lo cree nadie que trabaje en seguridad informática.
Cómo nos la cuelan: la anatomía del ataque AMOS
El funcionamiento de este infostealer es tan sencillo como efectivo, lo cual es precisamente lo que lo hace tan peligroso para el usuario medio. En lugar de pelearse con los complejos núcleos del sistema de Apple, AMOS busca el acceso directo a través de la Terminal del equipo. Mediante una técnica conocida como ClickFix, los ciberdelincuentes logran que páginas web fraudulentas muestren errores de visualización falsos que, supuestamente, solo se arreglan pegando una línea de código en la consola del Mac. Al hacerlo, el usuario está, sin saberlo, desactivando las defensas y otorgando permisos totales para que el bicho empiece a hurgar en sus archivos más privados.
Una vez que ha logrado entrar en el sistema, el malware no pierde el tiempo y activa subrutinas automáticas para escanear los navegadores más populares como Safari, Chrome o Firefox. El objetivo principal es hacerse con las cookies de sesión activa y los historiales de autocompletado, lo que les permite entrar en nuestras redes sociales o correos electrónicos sin que el sistema nos pida de nuevo la contraseña. Vaya tela, porque con esto los atacantes pueden secuestrar identidades digitales completas en cuestión de segundos y sin que nos demos cuenta de que algo raro está pasando en nuestro escritorio hasta que ya es demasiado tarde.
El botín preferido: criptomonedas y datos financieros
Si hay algo que le gusta a AMOS por encima de todo son las criptomonedas, y es aquí donde el impacto económico puede ser una auténtica ruina para quien lo sufre. El script está programado para localizar billeteras digitales y frases semilla guardadas en el disco duro o en las extensiones del navegador. Para rematar la faena, el malware despliega ventanas emergentes que imitan a la perfección la estética de macOS, pidiendo la contraseña de administrador. Si caemos en el error de introducirla, le estamos dando las llaves del reino para que valide la clave localmente y proceda a la exfiltración masiva de toda nuestra información hacia sus servidores externos.
Las variantes más modernas, como la denominada SHAMOS, han sido detectadas en cientos de entornos corporativos europeos en los últimos meses, lo que indica que el objetivo ya no es solo el usuario doméstico, sino también el robo de secretos empresariales. Al operar bajo un modelo de «malware como servicio», cualquier delincuente con un poco de presupuesto puede alquilar estas herramientas para lanzar sus propios ataques. Por eso, es vital desconfiar de cualquier mensaje inesperado que nos pida realizar acciones técnicas manuales, por mucho que la página web parezca oficial o nos prometa acceso gratuito a servicios de pago que normalmente cuestan un ojo de la cara.
Consejos para no acabar con el Mac infectado
La mejor defensa sigue siendo el sentido común, aunque a veces nos pille con la guardia baja tras un día largo de trabajo. Es fundamental no descargar jamás instaladores de fuentes que no sean las oficiales o la App Store, y mucho menos si se trata de versiones «crackeadas» que prometen funciones premium gratis. Además, hay que meterse en la cabeza que ninguna web legítima te pedirá nunca que abras la Terminal para solucionar un problema de compatibilidad del navegador. Si ves algo así, cierra la pestaña y sal corriendo de ahí, porque es una señal inequívoca de que intentan colártela doblada.
También conviene revisar de vez en cuando las extensiones que tenemos instaladas en el navegador y eliminar aquellas que no usemos o que no recordemos haber puesto ahí nosotros mismos. Mantener el sistema actualizado ayuda, pero como AMOS explota la confianza y no un fallo de código, la pelota está siempre en nuestro tejado. Usar un buen gestor de contraseñas y activar la autenticación de doble factor en todas las cuentas posibles es la mejor barrera para evitar disgustos mayores si por un casual llegamos a ejecutar algún archivo sospechoso sin querer.
Al final del día, la seguridad de nuestros equipos Apple ya no es algo que podamos dar por sentado simplemente por el logo que tienen en la tapa. La realidad actual nos obliga a cambiar el chip y entender que la manzana mordida no es un escudo mágico contra el fraude digital más rastrero. Mantener la guardia alta, verificar cada descarga y, sobre todo, no fiarse de las soluciones milagrosas que nos piden tocar las tripas del sistema a través de la Terminal son ahora mismo para que nuestros ahorros y nuestra privacidad sigan siendo solo nuestros, sin que ningún extraño venga a meternos mano en la cartera virtual por culpa de un despiste.