Un reciente informe de seguridad ha puesto de manifiesto una grieta preocupante en el ecosistema de protección de Apple. Investigadores de Jamf Threat Labs han identificado una nueva variante de la familia de malware conocida como MacSync Stealer, la cual se está distribuyendo oculta dentro de aplicaciones que, en teoría, deberían ser seguras. Lo alarmante de este hallazgo es que el software malicioso cuenta con una firma de código válida y ha sido certificado por la propia Apple, lo que le permite ejecutarse en los ordenadores Mac sin que la barrera de seguridad Gatekeeper active ninguna alerta ni bloqueo.
El modelo de confianza de macOS exige que las aplicaciones distribuidas fuera de la App Store oficial pasen por un proceso de verificación criptográfica para garantizar su origen. Sin embargo, este incidente demuestra que los ciberdelincuentes están perfeccionando sus métodos para subvertir el sistema, logrando que sus amenazas sean prácticamente indistinguibles del software legítimo en el momento de la instalación, aprovechando la presunción de inocencia que otorgan los certificados oficiales.
macOS amenazado por la táctica del caballo de Troya digital
El mecanismo empleado para engañar a los controles de Cupertino combina la suplantación de identidad con una ejecución diferida. Según los expertos, los atacantes operan utilizando certificados de Developer ID que han sido robados o adquiridos en el mercado negro. Para superar el filtro de la certificación, envían un archivo ejecutable inicial que parece totalmente benigno durante el análisis estático que realizan los sistemas automatizados de Apple.
Te interesa 👉 Ajustes que debes cambiar si te acabas de comprar un Mac
La actividad maliciosa real no comienza hasta que la aplicación ya reside en el equipo de la víctima. En ese momento, el software se conecta a una infraestructura remota para descargar las cargas útiles o payloads que contienen el código dañino. Dado que estos elementos peligrosos no estaban incluidos en el paquete original enviado a revisión, los escáneres de Apple no encuentran nada sospechoso que reportar. Aunque la compañía tiene la capacidad de revocar estos certificados una vez detectado el abuso, la estrategia subraya que la notarización certifica la identidad del desarrollador, pero no puede garantizar el comportamiento futuro de la aplicación.
