En los últimos meses, expertos en ciberseguridad han puesto el foco sobre un sofisticado ataque informático dirigido a usuarios de macOS, especialmente a quienes trabajan en sectores relacionados con las criptomonedas y la Web3. El despliegue de este nuevo malware de origen norcoreano, bautizado como NimDoor, ha generado un considerable revuelo en la comunidad tecnológica por su avanzada combinación de técnicas y la dificultad de su detección y eliminación.
No se trata de una amenaza cualquiera. NimDoor destaca por emplear lenguajes poco habituales en campañas maliciosas sobre macOS –como Nim, C++, Bash y AppleScript–, lo que le otorga una capacidad especial para pasar desapercibido y permanecer activo en los sistemas infectados. Su principal objetivo es comprometer la seguridad de empresas y perfiles ligados a los activos digitales, una industria en auge y especialmente apetecible para los ciberdelincuentes internacionales.
Así actúa NimDoor: el tándem Zoom y Telegram, la puerta de entrada
El primer paso en el plan de estos hackers norcoreanos comienza a través de Telegram, donde contactan a la potencial víctima haciéndose pasar por un colaborador o contacto de confianza. Tras iniciar la conversación, proponen agendar una videollamada y, posteriormente, envían un correo electrónico que aparenta ser una invitación legítima de Zoom. Dentro de este correo se incluye un enlace camuflado que dirige a la descarga de un archivo malicioso disfrazado de actualización del «Zoom SDK».
Lo especialmente ingenioso es que este archivo, diseñado para macOS, incorpora más de 10.000 líneas de espacio en blanco antes del código, dificultando enormemente su análisis por parte de los sistemas de seguridad y los investigadores. Una vez la víctima ejecuta el archivo pensando que se trata de una actualización legítima, se activa el malware y se establece una conexión cifrada con un servidor remoto controlado por los atacantes.
El despliegue del malware no termina ahí: el software malicioso desarrolla mecanismos de persistencia en el dispositivo, de forma que si el usuario elimina el malware o reinicia el ordenador, NimDoor puede reinstalarse automáticamente y seguir operando sin levantar sospechas. Esta capacidad eleva el riesgo y la dificultad a la hora de limpiar completamente el sistema afectado.
Técnicas innovadoras y datos comprometidos
Las investigaciones publicadas por firmas como SentinelLabs subrayan que NimDoor es uno de los ataques más elaborados contra macOS en los últimos años. La combinación de lenguajes y la utilización de técnicas como la inyección de procesos y las comunicaciones mediante protocolo wss cifrado (TLS) complican la labor de los antivirus y sistemas de detección actuales.
La magnitud del daño potencial es considerable, ya que NimDoor tiene la capacidad de extraer credenciales almacenadas en el Keychain del sistema operativo, acceder a datos de los navegadores web y, en algunos casos, llegar incluso a robar bases de datos de usuarios de Telegram presentes en el equipo infectado. Este alcance hace que la amenaza sea especialmente relevante para empresas que manejan información sensible o recursos financieros digitales.
Otro aspecto innovador que ha llamado la atención es el mecanismo de persistencia del malware, que se activa interceptando señales del sistema –como SIGINT o SIGTERM–, permitiendo que, incluso en caso de que se intente detener o eliminar el proceso, el software se reinstale y continúe funcionando en segundo plano.
Por qué preocupa tanto NimDoor y cómo protegerse
La gravedad de este tipo de ataque reside en la combinación de ingeniería social y sofisticación técnica. El uso de canales de comunicación populares como Telegram y Zoom, junto a la simulación de conversaciones y correos reales, hace que el usuario medio tenga muy difícil identificar la amenaza antes de que sea demasiado tarde.
Para reducir el riesgo de infección, los expertos insisten en algunos consejos básicos de seguridad:
- Desconfía siempre de correos electrónicos inesperados, incluso si parecen legítimos o provienen de contactos conocidos.
- Evita descargar o ejecutar archivos adjuntos que no hayas solicitado expresamente, especialmente si tienen aspecto técnico (actualizaciones, SDKs, etc.).
- Verifica el nombre y dominio del remitente de cualquier correo sospechoso antes de hacer clic en enlaces o descargar archivos.
- Utiliza soluciones antivirus y de análisis de amenazas actualizadas y mantén el sistema operativo al día.
- Para empresas, adoptar autenticación multifactor y formar a los empleados en la detección de intentos de phishing son medidas imprescindibles hoy en día.
Este caso demuestra que, aunque macOS se perciba a menudo como una plataforma más segura que otros sistemas, ningún entorno está exento de riesgos cuando los atacantes emplean estrategias tan avanzadas y persistentes como las aquí descritas.
