Los ciberdelincuentes han encontrado la forma de burlar las defensas de macOS utilizando dos pilares del ecosistema digital: Google Ads y los chats compartidos de Claude.ai. Según ha descubierto BleepingComputer, una campaña activa de malvertising está suplantando la búsqueda legítima de «Claude mac download» para inyectar malware en equipos de Apple. Tradecraft de pícaro moderno: se aprovecha la confianza en una plataforma de inteligencia artificial para empujar a la víctima hacia una trampa que cualquier filtro de seguridad pasaría por alto.
Ingeniería social a la carta: así opera la campaña de malvertising
El anzuelo es sencillo pero devastador: un usuario escribe en Google «Claude mac download» y ve, entre los resultados patrocinados, un anuncio cuyo enlace visible apunta a claude.ai. Todo parece legítimo. Sin embargo, al hacer clic, el viajero digital no aterriza en el portal de Anthropic, sino en una réplica casi perfecta —solo un ojo experto detectaría que la URL del sitio falsificado utiliza caracteres unicode casi idénticos al dominio oficial— que le ofrece descargar la aplicación de escritorio de Claude.
La descarga es un archivo DMG que esconde el malware. Pero aquí viene el detalle que me ha dejado helado: la cadena de confianza se refuerza porque, antes de redirigir a la página pirata, el anuncio presenta un enlace a un chat compartido real de la plataforma Claude.ai, uno de esos que Anthropic permite generar para que terceros lean una conversación con el asistente. Ese chat contiene, según los investigadores, instrucciones aparentemente inocentes sobre cómo instalar la aplicación. De nuevo, la apariencia de normalidad. Ya advertí en El quinto elemento que «el próximo 11S empezará con un clic»; aquel clic bien podría venir de un anuncio que alguien confundió con la página de su herramienta favorita.
La ingeniería social llevada a sus últimas consecuencias. El delincuente ya no necesita forzar una vulnerabilidad técnica: basta con explotar la psicología de quien, al ver un chat compartido de Claude, baja la guardia por completo.
El malware que espera en el otro extremo: un ladrón de datos para macOS
Aunque BleepingComputer no detalla el nombre de la familia exacta en su primera alerta, quienes seguimos de cerca las amenazas para macOS reconocemos el patrón. En 2023, una campaña idéntica utilizó anuncios falsos del navegador Arc para distribuir Atomic Stealer (también conocido como AMOS), un ladrón de información que se apodera de contraseñas, cookies del llavero, datos de tarjetas y billeteras de criptomonedas. Me juego el cuello a que estamos ante una variante de ese mismo código.
El modus operandi es calcado: una vez ejecutado el DMG, el usuario ve un instalador que le pide permisos de administrador —algo nada extraño en macOS— y, acto seguido, el malware se comunica con un servidor de mando y control (C2) para exfiltrar la información. La carga final puede camuflarse entre procesos legítimos del sistema, lo que dificulta su detección incluso con soluciones de seguridad convencionales. Se trata de una amenaza persistente avanzada (APT) de tipo commodity: la vende o alquila un grupo criminal, y cualquiera con un presupuesto mínimo puede lanzarla.
La sofisticación no está en el código, sino en la cadena de confianza que el atacante ha logrado trenzar con Google Ads, los chats de Claude y una suplantación de dominio casi imposible de advertir a simple vista.
Apple ha endurecido mucho el sistema de permisos en las últimas versiones de macOS, pero el punto débil sigue siendo el factor humano. Que un usuario conceda el permiso de administrador al instalador falso es la llave que abre todas las puertas. Y déjeme decirle, lector, que hasta el más precavido puede caer si el anzuelo viene envuelto en una marca de inteligencia artificial que suena a revolución tecnológica.
Dossier Moncloa: Ojos en la Sombra
Verá usted que esta historia huele a cibercrimen común, no a operación de Estado. Pero el salto cualitativo que veo aquí es precisamente la apropiación de infraestructuras de confianza masiva —Google Ads y una IA respetada— para corromper el último eslabón: la decisión del usuario. Y eso tiene implicaciones que van mucho más allá del robo de bitcoins a un particular.
En el Dossier de hoy, el vector de amenaza es claramente una campaña de malvertising con carga de ingeniería social avanzada. El atacante no es un servicio de inteligencia estatal, sino probablemente un grupo cibercriminal de origen ruso o chino, como los que han comercializado Atomic Stealer en foros de la dark web. La defensa corre a cargo, por ahora, de Google —que debe depurar sus sistemas de anuncios— y de Anthropic —que debe monitorizar los chats públicos—, pero también de Apple, cuyo ecosistema cerrado no bastó para detener la infección. El CNI, a través del CCN-CERT, y las unidades de ciberseguridad de la Policía Nacional son los terceros interesados: aunque el objetivo inmediato sea la cartera digital de algún desprevenido, la técnica es exportable a campañas de espionaje dirigido. Usted, lector, imagine que en vez de un DMG que roba contraseñas, el archivo instalase un backdoor silencioso en el equipo de un director general de una empresa del IBEX 35. El daño ya no sería económico; sería estratégico.
El precedente más claro lo tenemos en aquella campaña de 2023 a la que aludía antes: los anuncios falsos de Arc lograron infectar cientos de Mac en Europa. Las empresas de ciberseguridad como Malwarebytes y SentinelOne documentaron que el atacante utilizaba la misma cadena: un dominio doppelgänger, un chat de Slack o Discord falso y un DMG fraudulento. Esta vez, el escenario se revalora con Claude.ai; mañana puede ser cualquier otra herramienta de moda.
En cuanto al nivel de clasificación, esto es conocimiento no clasificado pero sensible: la inteligencia de fuentes abiertas (OSINT) basta para seguirle la pista, pero los detalles de comando y control y la infraestructura de los actores sí son material que las agencias manejan como confidencial. Si el CCN-CERT no ha lanzado ya un aviso de seguridad, debería hacerlo en las próximas horas. Lo advertí hace años en Desnudando a Google: «Alguien tenía que decir que el rey Google va desnudo». Su motor de anuncios es ahora un puente para que la amenaza entre en los Mac sin disparar una sola alarma. No me extrañaría que desde Langley y Vauxhall Cross ya estén redactando informes sobre cómo esta técnica, aparentemente banal, puede ser replicada por el GRU o el APT31 chino en sus campañas de filtración.
Mientras escribo esto, la campaña sigue activa. La próxima vez que busque una aplicación, mire dos veces la URL. Y rece para que Google y Apple hagan lo mismo.
