Durante aƱos, buena parte de los usuarios de Mac han vivido con la idea de que macOS era casi inmune al malware. No era del todo cierto, pero la menor cuota de mercado frente a Windows hacĆa que muchos delincuentes digitales mirasen hacia otro lado. Esa etapa de relativa calma se estĆ” acabando, y la apariciĆ³n de Infiniti Stealer lo deja bastante claro.
Este nuevo cĆ³digo malicioso estĆ” diseƱado para robar informaciĆ³n sensible en ordenadores Mac recurriendo a tĆ©cnicas de ingenierĆa social que poco tienen que ver con los viejos virus de antaƱo. Mediante pĆ”ginas falsas de verificaciĆ³n, scripts automatizados y mecanismos de evasiĆ³n, Infiniti Stealer puede hacerse con contraseƱas, datos personales e incluso monederos de criptomonedas sin que el usuario note nada raro.
El final de la falsa sensaciĆ³n de seguridad en macOS
Durante mucho tiempo, la comunidad de Mac dio por hecho que los problemas de virus eran cosa de Windows. Parte de esa confianza venĆa del propio diseƱo de seguridad de macOS, pero tambiĆ©n de un motivo mĆ”s prĆ”ctico: habĆa menos usuarios, y por tanto menos interĆ©s para los atacantes.
Esa realidad ha cambiado por completo. Apple ha ido ganando terreno en el mercado europeo, especialmente entre profesionales, autĆ³nomos y empresas, y eso ha convertido a los equipos Mac en un objetivo muy apetecible. Sectores como el diseƱo, el desarrollo de software, las finanzas o el marketing digital trabajan a diario con informaciĆ³n de alto valor.
En paralelo, los investigadores de seguridad llevan tiempo detectando un aumento significativo del malware tipo infostealer en macOS. Este tipo de amenazas se centra en robar credenciales, cookies de sesiĆ³n, datos de tarjetas y activos de criptomonedas para convertirlos rĆ”pidamente en dinero.
AdemĆ”s, el malware moderno para Mac ya no se limita a trucos bĆ”sicos. Es cada vez mĆ”s habitual ver tĆ©cnicas como ejecuciĆ³n sin archivos, uso de AppleScript y aprovechamiento de herramientas nativas del sistema para pasar desapercibido. Todo ello permite que las infecciones se mantengan activas durante semanas o meses sin levantar sospechas.
Infiniti Stealer: el nuevo infostealer especializado en Mac
En este contexto irrumpe Infiniti Stealer, un malware diseƱado especĆficamente para macOS que pone el foco en el robo de datos. La amenaza ha sido analizada en detalle por los investigadores de Malwarebytes Labs, que han identificado un patrĆ³n de ataque muy concreto.
Infiniti Stealer combina dos elementos clave: por un lado, la tĆ©cnica de distribuciĆ³n conocida como ClickFix, ya utilizada previamente en Windows y ahora adaptada al ecosistema de Apple; por otro, una carga maliciosa escrita en Python y compilada con Nuitka, que termina generando un binario nativo para Mac difĆcil de detectar.
Uno de los aspectos mĆ”s preocupantes es que no se apoya en vulnerabilidades tĆ©cnicas complejas, sino en engaƱar al usuario. La campaƱa se basa en pĆ”ginas que aparentan ser sistemas legĆtimos de verificaciĆ³n, similares a los conocidos CAPTCHA o a los controles de Cloudflare, lo que ayuda a rebajar la guardia.
Desde Malwarebytes destacan que Infiniti Stealer demuestra cĆ³mo estrategias que funcionaban en Windows estĆ”n migrando a macOS. Es un sĆntoma claro de que los delincuentes ya no consideran al sistema de Apple un objetivo de bajo riesgo, especialmente en Europa, donde la adopciĆ³n de Mac en entornos profesionales no deja de crecer.
La trampa de ClickFix y los falsos CAPTCHA
El corazĆ³n del ataque reside en la tĆ©cnica ClickFix aplicada a supuestas verificaciones humanas. El proceso arranca cuando el usuario llega a una pĆ”gina maliciosa que suplanta un sistema de seguridad: a primera vista, parece un simple test para confirmar que no se trata de un bot.
En lugar de pedir al usuario que marque casillas o identifique imĆ”genes, la pĆ”gina muestra un mensaje que solicita copiar y pegar un comando en el Terminal de macOS, con la excusa de que se trata de una verificaciĆ³n adicional necesaria para continuar. Todo se presenta con un aspecto relativamente convincente, lo que facilita que mĆ”s de uno caiga en la trampa.
Ese supuesto comando de verificaciĆ³n es, en realidad, cĆ³digo malicioso que descarga y ejecuta la carga Ćŗtil de Infiniti Stealer. Una vez pegado en el Terminal y ejecutado, el sistema inicia la descarga de los archivos necesarios, normalmente mediante herramientas estĆ”ndar como curl o scripts bash.
Los expertos recuerdan que ningĆŗn CAPTCHA legĆtimo ni Cloudflare piden copiar y pegar comandos desde una web al Terminal. Ese simple detalle deberĆa ser suficiente para activar todas las alarmas, pero la combinaciĆ³n de prisa y confianza en la seguridad de macOS hace que muchos usuarios no se lo cuestionen.
Desde el comando al robo de datos: asĆ opera Infiniti Stealer
Una vez que el usuario ejecuta el comando proporcionado por la falsa verificaciĆ³n, se pone en marcha una cadena de acciones relativamente estructurada. Primero se descarga una carga Ćŗtil que genera un binario nativo de alrededor de 8,6 MB, pensado para funcionar de manera autĆ³noma en macOS sin depender de componentes externos.
Ese binario se encarga de mantenerse en segundo plano, evitando mostrar ventanas o notificaciones visibles para no levantar sospechas. Desde ese momento, el equipo parece funcionar con normalidad, pero el malware comienza a rastrear y recolectar informaciĆ³n.
Entre los objetivos principales se encuentran los navegadores basados en Chromium y Firefox, que almacenan gran cantidad de credenciales, cookies y datos de autocompletado. TambiƩn se dirige al llavero de macOS, donde se guardan contraseƱas, certificados y otros secretos sensibles.
AdemĆ”s, Infiniti Stealer puede capturar tokens de sesiĆ³n activos y cookies vĆ”lidas, lo que permite a los atacantes acceder a cuentas online sin necesidad de introducir usuario y contraseƱa, saltĆ”ndose incluso sistemas de autenticaciĆ³n en dos pasos cuando la sesiĆ³n ya estĆ” abierta.
En el caso de usuarios avanzados y empresas, el malware presta especial atenciĆ³n a archivos como .env y otros ficheros de configuraciĆ³n que suelen contener claves API, credenciales de bases de datos y datos de acceso a servicios en la nube. Esto convierte a los desarrolladores y administradores en un objetivo especialmente jugoso.
Capacidades tĆ©cnicas y exfiltraciĆ³n de informaciĆ³n
Desde la perspectiva tĆ©cnica, Infiniti Stealer destaca por combinar un enfoque nativo en macOS con tĆ©cnicas de evasiĆ³n. La generaciĆ³n de un binario propio complica el trabajo de algunas soluciones de seguridad que se centran en scripts o comportamientos mĆ”s conocidos.
El malware es capaz de extraer datos de una amplia gama de navegadores, lo que abarca una porciĆ³n muy relevante del uso real en Europa. A esto se suma el acceso al llavero de macOS y a certificados almacenados, una fuente crĆtica de informaciĆ³n para comprometer servicios profesionales.
Una vez recopilados, los datos robados se envĆan a servidores controlados por los atacantes mediante conexiones cifradas. Este uso de canales seguros dificulta que las herramientas tradicionales detecten fĆ”cilmente la exfiltraciĆ³n, ya que el trĆ”fico se mezcla con otras comunicaciones legĆtimas.
En algunos escenarios, la combinaciĆ³n de credenciales, tokens y claves API permite a los atacantes pivotar desde un simple Mac comprometido hacia infraestructuras completas de empresa, repositorios de cĆ³digo, paneles de administraciĆ³n e incluso servicios financieros vinculados al equipo afectado.
Un cambio de foco: Mac deja de ser un objetivo menor
Casos como el de Infiniti Stealer confirman algo que los analistas de seguridad llevan avisando tiempo: macOS ha dejado de ser un blanco secundario. El creciente nĆŗmero de usuarios y la presencia del Mac en departamentos clave hacen que el potencial beneficio para los delincuentes sea muy elevado.
En Europa y EspaƱa se ha extendido el uso de Mac en consultorĆas, estudios creativos, fintech, startups tecnolĆ³gicas y despachos profesionales. En todos estos entornos se manejan documentos confidenciales, accesos a plataformas corporativas y cuentas bancarias.
La expansiĆ³n de las criptomonedas y de los servicios financieros digitales ha aƱadido un incentivo mĆ”s. Muchos usuarios guardan billeteras, semillas y accesos a exchanges en sus equipos, lo que encaja perfectamente con el tipo de informaciĆ³n que busca un infostealer.
Al mismo tiempo, el ecosistema de desarrollo sobre macOS es enorme. Herramientas de programaciĆ³n, gestores de paquetes y plataformas de despliegue en la nube se utilizan a diario desde equipos Mac, de modo que comprometer un solo portĆ”til puede abrir la puerta a toda una infraestructura.
QuƩ pueden hacer los usuarios de Mac para protegerse
Aunque Infiniti Stealer es una amenaza seria, hay varias medidas que ayudan a reducir de forma notable el riesgo. La primera, y quizƔ la mƔs importante, es no ejecutar nunca comandos en el Terminal si no se entiende exactamente quƩ hacen, sobre todo cuando vienen de una pƔgina web.
Cualquier sitio que pida copiar y pegar texto en el Terminal como parte de una supuesta verificaciĆ³n de seguridad debe considerarse altamente sospechoso. Los CAPTCHA legĆtimos no requieren este tipo de acciĆ³n manual, ni en EspaƱa ni en ningĆŗn otro paĆs.
TambiƩn conviene extremar las precauciones a la hora de descargar software o utilizar servicios desconocidos. Siempre que sea posible, es recomendable acudir a fuentes oficiales, tiendas de aplicaciones verificadas y proveedores de confianza.
A nivel tĆ©cnico, puede ser Ćŗtil complementar las protecciones integradas de macOS con soluciones de seguridad especializadas que monitoricen comportamientos anĆ³malos, incluyendo la actividad del Terminal y la apariciĆ³n de binarios nuevos en rutas sensibles.
Pasos a seguir si se sospecha una infecciĆ³n de Infiniti Stealer
Si existe la duda razonable de haber ejecutado uno de estos comandos o de haber pasado por una pĆ”gina de verificaciĆ³n sospechosa, es importante actuar con calma, pero con rapidez. Los investigadores recomiendan dejar de utilizar el equipo para actividades sensibles, como banca online, correo corporativo o gestiĆ³n de criptomonedas.
A continuaciĆ³n, es preferible cambiar las contraseƱas desde otro dispositivo limpio, priorizando el correo electrĆ³nico principal, las aplicaciones bancarias, los servicios profesionales y el ID de Apple. TambiĆ©n es buena idea revisar dĆ³nde hay sesiones abiertas y cerrar las que no sean necesarias.
En entornos empresariales, puede ser necesario informar al departamento de TI o al responsable de seguridad para que comprueben si ha habido accesos inusuales, cambios en repositorios o movimientos extraƱos en cuentas corporativas.
SegĆŗn los expertos, la clave estĆ” en asumir que, tras una infecciĆ³n de este tipo, las credenciales almacenadas en el equipo pueden considerarse comprometidas. De ahĆ la importancia de revocarlas, rotarlas y revisar logs de acceso en todos los servicios importantes.
Todo lo que rodea a Infiniti Stealer refuerza una idea clara: macOS sigue siendo un sistema robusto, pero ya no vive en una burbuja aislada del malware. El auge de infostealers dirigidos a los usuarios de Mac en Europa demuestra que los atacantes han encontrado en estos equipos una fuente de datos muy valiosa. Entender cĆ³mo funcionan tĆ©cnicas como ClickFix, desconfiar de cualquier verificaciĆ³n que obligue a usar el Terminal y reforzar los hĆ”bitos de seguridad del dĆa a dĆa se ha vuelto imprescindible para mantener a salvo contraseƱas, cuentas online y activos digitales en los ordenadores de Apple.
