El ecosistema de ordenadores Mac se enfrenta a una amenaza cada vez más sofisticada: MacSync Stealer, un malware especializado en el robo de información que ha aprendido a camuflarse como si fuera una aplicación totalmente legítima de Apple. Lejos de los típicos virus torpes y evidentes, este software malicioso se instala con sigilo y aprovecha los propios mecanismos de confianza de macOS para pasar desapercibido.
En sus variantes más recientes, MacSync Stealer ha logrado obtener firmas digitales válidas y el notariado oficial de Apple, lo que le permite ejecutarse sin levantar sospechas ni ser bloqueado por herramientas como Gatekeeper o XProtect. Esta evolución complica la detección temprana y abre la puerta a filtraciones de datos sensibles tanto en equipos domésticos como en entornos profesionales de España y el resto de Europa.
Qué es MacSync Stealer y por qué preocupa en el ecosistema macOS
MacSync Stealer es un troyano de tipo «information stealer» diseñado para sistemas macOS, cuyo objetivo principal es recopilar y exfiltrar datos del equipo infectado. Puede acceder a información personal, credenciales, contenidos de navegación y otros datos de valor para los atacantes, que después se utilizan para fraudes, accesos no autorizados o venta en mercados clandestinos.
En sus primeras apariciones, este malware se distribuía recurriendo a tácticas como el arrastrar a la Terminal o los métodos tipo ClickFix, donde el propio usuario, engañado, copiaba y pegaba comandos maliciosos. Ese enfoque requería cierta interacción manual y, por tanto, ofrecía más oportunidades para que la víctima sospechase y abortara la instalación.
La situación ha cambiado con la última variante identificada por Jamf Threat Labs, laboratorio especializado en seguridad para dispositivos Apple. Su análisis revela que MacSync Stealer ha dado un salto cualitativo y adopta un enfoque mucho más silencioso y automatizado, minimizando la necesidad de intervención del usuario y explotando la confianza depositada en el sello de Apple.
Los investigadores detallan que el instalador malicioso se presenta como una aplicación en Swift, el lenguaje de programación de Apple, con su correspondiente ID de desarrollador y firma de código válidos, además de estar notariada por la propia compañía. En la práctica, esto significa que, para macOS, el software tiene apariencia de ser completamente fiable.
Un instalador en Swift que burla Gatekeeper y se disfraza de mensajería
La nueva campaña de MacSync Stealer se apoya en un instalador que se hace pasar por una aplicación de mensajería o herramienta de productividad, una tapadera habitual que reduce las sospechas del usuario medio. En uno de los casos analizados, el archivo se distribuía como una imagen de disco DMG denominada “zk-call-messenger-installer-3.9.2-lts.dmg”, alojada en un dominio específico dedicado a este supuesto servicio.
Al estar firmado digitalmente y notariado, el instalador puede ejecutarse sin que Gatekeeper lo bloquee de entrada. Aun así, se han observado pantallas con instrucciones que indican al usuario que haga clic derecho y seleccione «Abrir», un truco clásico para sortear advertencias adicionales del sistema cuando la procedencia de la app genera alguna duda. Estos comportamientos resultan preocupantes incluso frente a las mejoras constantes de macOS en protección.
El componente principal actúa como un «dropper» escrito en Swift, es decir, un contenedor cuya función es preparar el terreno y descargar la carga maliciosa real. Antes de hacerlo, realiza una serie de comprobaciones del entorno, como verificar la conexión a Internet, confirmar que se cumple un mínimo de tiempo de ejecución —en torno a 3600 segundos, según el análisis— y eliminar atributos de cuarentena de los archivos implicados.
Los expertos de Jamf destacan cambios concretos en la forma de descargar el payload. La herramienta emplea el comando curl con combinaciones de parámetros menos habituales (por ejemplo, separando la típica secuencia -fsSL en -fL y -sS, e incorporando opciones como --noproxy), además de variables dinámicas. Estos ajustes apuntan a un intento deliberado de mejorar la fiabilidad de la descarga y evadir ciertos patrones de detección utilizados por soluciones de seguridad.
Imágenes DMG infladas y archivos señuelo para despistar a los sistemas de seguridad
Otro de los rasgos llamativos de esta campaña es el uso de imágenes de disco de gran tamaño. La DMG que contiene el instalador alcanza unos 25,5 MB, un peso inusualmente alto para una app relativamente sencilla. Según el análisis de Jamf Threat Labs, ese tamaño se consigue inflando el archivo con PDFs u otros documentos irrelevantes incrustados en el paquete.
Este relleno no tiene utilidad funcional para el usuario, pero sí complica el análisis automático por parte de antivirus y herramientas de inspección. Al mezclar archivos señuelo con el contenido malicioso y aumentar el tamaño, se intenta dificultar la identificación de patrones sospechosos y ralentizar los procesos de revisión.
Una vez que el DMG se monta y la aplicación se ejecuta, el dropper ejecuta sus controles previos del sistema, entre ellos la comprobación de la conectividad a la red. Si el entorno es el esperado, procede a conectarse a un servidor remoto controlado por los atacantes, desde el cual descarga un payload codificado en Base64 que contiene el núcleo del malware. Casos similares de amenazas que han llegado a los Mac ayudan a contextualizar este riesgo, como la llegada de varios troyanos a macOS.
Ese código, una vez decodificado, se corresponde con MacSync, una evolución de una amenaza conocida como Mac.c que fue identificada por primera vez en abril de 2025. Investigaciones de equipos como Moonlock Lab (MacPaw) señalan que esta familia incorpora un agente completo escrito en Go, capaz de ir mucho más allá del simple robo de contraseñas.
De «stealer» a puerta trasera: capacidades de MacSync
El componente central de MacSync no se limita a extraer información. De acuerdo con los análisis públicos, la amenaza integra funciones avanzadas de comando y control (C2), lo que permite a los atacantes mantener una conexión persistente con la máquina comprometida. Amenazas con capacidades similares de control remoto han sido documentadas en múltiples ocasiones en equipos macOS.
Entre las capacidades asociadas a este tipo de agentes, se incluyen el ejecución remota de órdenes, la exfiltración de diferentes tipos de archivos, el acceso a datos de navegación o credenciales almacenadas, y potencialmente la instalación de nuevos módulos maliciosos bajo demanda. En otras palabras, el equipo afectado puede convertirse en un eslabón más de una infraestructura controlada por los ciberdelincuentes.
La transición desde un stealer sencillo a una plataforma modular de control remoto supone un incremento notable del riesgo, tanto para particulares como para empresas. Un Mac infectado deja de ser solo una fuente de contraseñas robadas para convertirse en un punto de entrada a redes corporativas, servicios en la nube o sistemas críticos conectados.
En este contexto, los especialistas subrayan que el atractivo de macOS para los atacantes ha aumentado. La creciente implantación de equipos Mac en oficinas europeas, administraciones y hogares ha roto el antiguo mito de que “en Mac no hay virus”, forzando a los delincuentes a desarrollar herramientas más sofisticadas para explotar esta base de usuarios.
Respuesta de Apple y tendencia general del malware para macOS
Tras ser alertada por los investigadores de seguridad, Apple ha revocado los certificados de firma de código vinculados a la campaña de MacSync Stealer. Esta medida impide, en teoría, que las mismas aplicaciones firmadas continúen ejecutándose sin trabas y bloquea nuevas compilaciones asociadas a ese ID de desarrollador. Apple ya tomó medidas similares ante amenazas previas, como se documentó cuando actuó contra Silver Sparrow.
No obstante, tanto Jamf Threat Labs como otros expertos advierten de que el caso de MacSync Stealer refleja una tendencia más amplia en el panorama del malware para macOS. Cada vez más actores maliciosos intentan introducir su código en ejecutables firmados y notariados, con apariencia de software legítimo, lo que reduce considerablemente la probabilidad de que el usuario reciba alertas claras de peligro. Por eso conviene complementar las defensas con herramientas adicionales como soluciones de protección para macOS.
Esta forma de operar se apoya también en la ingeniería social. El simple hecho de que una aplicación pase los controles iniciales de Apple y se presente con el icono de una herramienta popular o de un supuesto servicio oficial ya genera una sensación de seguridad que muchos usuarios no cuestionan, sobre todo en entornos donde macOS se percibe tradicionalmente como “plataforma segura”.
Además, se ha observado que técnicas similares —como el uso de DMG firmadas que imitan a Google Meet— se han aplicado para distribuir otros stealers para macOS, como Odyssey. Al mismo tiempo, algunos grupos siguen utilizando imágenes de disco sin firmar para campañas con amenazas como DigitStealer, lo que demuestra la coexistencia de métodos clásicos y estrategias más refinadas dentro del mismo ecosistema delictivo.
Para usuarios y empresas en España y Europa, este escenario implica que la confianza ciega en los mecanismos de validación de Apple ya no es suficiente. Aunque la revocación de certificados y las mejoras constantes de macOS son pasos importantes, la rapidez con la que surgen nuevas variantes obliga a mantener una vigilancia continua y a .
Todo lo ocurrido con MacSync Stealer deja claro que el malware para Mac ha dejado de ser anecdótico y se ha convertido en un problema serio: los atacantes explotan las propias estructuras de confianza de Apple, camuflan su código en aplicaciones firmadas y notariadas, emplean imágenes de disco infladas con archivos señuelo y despliegan agentes avanzados con capacidades de robo de datos y control remoto, un cóctel que obliga a tomarse muy en serio la seguridad en macOS, tanto en el ámbito doméstico como en el profesional.
