Los Mac también pillan malware macOS, y en 2026 la situación es bastante peor de lo que Apple le gustaría reconocer. El mito del "Mac no se infecta" murió hace años, pero sigue calado entre usuarios que confían ciegamente en Gatekeeper y XProtect. Las familias de virus mac activas este año van desde infostealers que vacían carteras de criptomonedas hasta troyanos disfrazados de actualizaciones de Chrome. Las amenazas mac 2026 ya no son ciencia ficción ni casos aislados: son operaciones organizadas, muchas con código vendido como servicio en foros rusos. Si usas un Mac para algo más que ver Netflix, conviene que entiendas qué malware apple circula realmente y cómo blindar tu seguridad macos sin caer en soluciones de pacotilla.
Por qué macOS dejó de ser un refugio seguro
Apple vendió durante años la idea de que su sistema era inmune. Nunca fue cierto, pero la cuota de mercado baja hacía que los atacantes prefirieran Windows. Eso cambió. Mac ronda aproximadamente el 9-10% de cuota global de escritorio según estimaciones de StatCounter de 2025, y los profesionales de alto valor (desarrolladores, ejecutivos, creativos) usan mayoritariamente Mac. Botín suficiente.
El otro factor es económico. El usuario medio de Mac tiene poder adquisitivo superior, lo que se traduce en más tarjetas de crédito guardadas, más carteras de criptomonedas y más credenciales corporativas valiosas. Los grupos criminales hicieron cuentas y montaron infraestructura específica.
Las familias más activas en lo que llevamos de 2026 son Atomic Stealer (AMOS), Banshee Stealer, Cthulhu Stealer y variantes de RustBucket atribuidas a Lazarus Group (Corea del Norte). Todas comparten un patrón: roban credenciales del Llavero, cookies de navegador, carteras crypto y archivos sensibles, todo en cuestión de segundos.
Tipos de malware macOS que más circulan
No todo el malware apple hace lo mismo. Conviene distinguir categorías para entender el riesgo real.
| Tipo | Qué hace | Vector habitual |
|---|---|---|
| Infostealers | Roban Llavero, cookies, carteras crypto | Apps pirateadas, falsos updaters |
| Adware persistente | Inyecta anuncios, secuestra búsquedas | Instaladores manipulados |
| Backdoors APT | Acceso remoto persistente | Spear phishing dirigido |
| Cryptominers | Minan crypto consumiendo CPU/GPU | Apps freeware modificadas |
| Ransomware | Cifran archivos y piden rescate | Vulnerabilidades sin parchear |
Los infostealers son ahora mismo la amenaza dominante. AMOS se vende como Malware-as-a-Service por aproximadamente 1.000-3.000 dólares mensuales según informes públicos de Group-IB de 2025, y sus operadores lo distribuyen a través de anuncios de Google que suplantan apps legítimas como Notion, Slack o Trello.
Vectores de infección reales en 2026
Olvídate del email con un .exe adjunto. Eso es Windows de los 2000. El malware macOS moderno usa rutas más sofisticadas y, sobre todo, más creíbles.
- Anuncios maliciosos en Google: buscas "Notion download" y el primer resultado es un dominio falso que sirve un .dmg con AMOS empaquetado dentro de la app real.
- Falsos actualizadores de navegador: visitas una web comprometida y aparece un popup convincente pidiendo actualizar Safari o Chrome. El instalador es un troyano.
- Apps crackeadas en sitios torrent: Photoshop, Logic Pro, Final Cut "gratis". El crack incluye un binario adicional que se ejecuta al abrir la app.
- Ofertas de trabajo falsas: especialmente en LinkedIn dirigidas a desarrolladores. El "test técnico" es un repositorio con código malicioso. Lazarus lleva años explotando esto.
- Extensiones de navegador troyanizadas: extensiones legítimas vendidas a actores maliciosos que añaden código de robo en una actualización rutinaria.
El truco común es que el usuario ejecuta el malware voluntariamente, escribiendo su contraseña de administrador cuando macOS la pide. Gatekeeper no protege contra usuarios que aprueban activamente lo que están instalando. Si quieres profundizar en cómo funcionan estos engaños, nuestra guía de ciberseguridad personal 2026 cubre los principios básicos de higiene digital aplicables a cualquier sistema.
Vulnerabilidades macOS que importaron en 2025-2026
Apple parchea bastante rápido, pero las ventanas de exposición existen. Algunas CVE relevantes recientes:
- CVE-2024-44131: bypass de TCC (Transparency, Consent and Control) que permitía acceso a archivos protegidos sin consentimiento. Parcheada en macOS Sequoia 15.0.
- CVE-2025-24085: vulnerabilidad de elevación de privilegios en Core Media, explotada activamente antes del parche según el aviso de Apple.
- CVE-2024-44243: bypass del System Integrity Protection (SIP) reportado por Microsoft, que permitía cargar extensiones del kernel maliciosas bajo determinadas condiciones.
La lección práctica: aplica las actualizaciones de macOS el día que salen. No las pospongas dos semanas porque "no me apetece reiniciar". Los exploits proof-of-concept aparecen en GitHub a las pocas horas del parche.
Herramientas reales para proteger tu Mac
Las soluciones nativas de Apple (Gatekeeper, XProtect, MRT) son la primera línea, pero insuficientes contra amenazas modernas. Lo que funciona de verdad:
- Objective-See Tools (gratuitas): el ecosistema de Patrick Wardle es referencia obligada. BlockBlock avisa de cualquier intento de persistencia, LuLu es un firewall de aplicaciones decente y KnockKnock audita lo que se ejecuta al arrancar.
- VirusTotal: antes de ejecutar cualquier .dmg o .pkg descargado, súbelo a virustotal.com. Si más de tres motores lo flaggean, fuera.
- Little Snitch o LuLu: control granular de conexiones salientes. Detectarás cuándo una app contacta servidores raros.
- Malwarebytes for Mac: la versión gratuita escanea bajo demanda y detecta la mayoría de familias conocidas.
- Have I Been Pwned: comprueba periódicamente en haveibeenpwned.com si tus credenciales aparecen en filtraciones.
Para entornos profesionales, soluciones EDR como SentinelOne, CrowdStrike Falcon o Jamf Protect ofrecen telemetría y respuesta automática. Para autónomos y pymes que quieran montar una infraestructura más robusta, conviene plantearse una auditoría de ciberseguridad antes de comprar herramientas a ciegas.
Buenas prácticas que sí marcan diferencia
Las herramientas no sirven sin hábitos. Estos son los cambios de comportamiento con mayor retorno:
- Cuenta de administrador separada: usa una cuenta estándar para el día a día. Solo introduce credenciales de admin cuando instales algo deliberadamente.
- FileVault activado: cifrado de disco completo. Sin esto, perder el portátil equivale a regalar todos tus datos.
- Gestor de contraseñas: 1Password, Bitwarden o el propio Llavero con contraseñas únicas largas. Los infostealers buscan archivos de Chrome y Firefox; un gestor cifrado independiente añade capa extra.
- Verificación en dos pasos con clave física: YubiKey o equivalente para cuentas críticas. El SMS y los códigos TOTP son vulnerables a ataques sofisticados, como explica nuestro artículo sobre phishing que burla el 2FA.
- Backups Time Machine + offline: regla 3-2-1. Tres copias, dos medios distintos, una offsite o desconectada.
- Revisar permisos TCC: System Settings → Privacy & Security. Quita acceso a Pantalla, Micrófono y Accessibility a apps que no lo necesitan.
Señales de que tu Mac está comprometido
El malware moderno intenta pasar desapercibido, pero deja huellas. Vigila:
- Ventiladores constantemente al máximo sin razón aparente (posible cryptominer).
- Apps nuevas en LaunchAgents o LaunchDaemons que no recuerdas instalar (revisa
~/Library/LaunchAgentsy/Library/LaunchAgents). - Conexiones de red salientes a IPs raras (Little Snitch te lo enseña).
- El navegador abre páginas que no pediste, o cambia el buscador por defecto.
- Notificaciones de inicio de sesión en servicios donde no has entrado.
- La cartera crypto muestra movimientos no autorizados (típico tras AMOS).
Si sospechas infección, la respuesta correcta no es ejecutar diez antivirus. Es desconectar el equipo de la red, cambiar contraseñas críticas desde otro dispositivo, revocar sesiones activas y plantearse una reinstalación limpia desde Recovery. Y revisar qué información pudo filtrarse, incluyendo eliminar tu rastro de agregadores de datos según explicamos en el artículo sobre cómo eliminar tus datos de Pipl y Spokeo.
Preguntas frecuentes
¿Necesito un antivirus en Mac en 2026?
Sí, pero no cualquiera. XProtect cubre amenazas básicas, pero conviene añadir herramientas como Malwarebytes o las utilidades de Objective-See para detectar familias modernas. Los antivirus comerciales de pago tipo Norton o McAfee aportan poco valor extra y consumen recursos.
¿Es seguro descargar apps fuera de la Mac App Store?
Depende del origen. Apps firmadas y notarizadas por Apple desde el sitio oficial del desarrollador son razonablemente seguras. Cualquier .dmg descargado de un anuncio de Google, un torrent o un enlace recibido por email merece desconfianza absoluta y verificación previa en VirusTotal.
¿El malware macOS puede afectar al chip M1, M2 o M3?
Por supuesto. Los Apple Silicon ejecutan código ARM nativo, y los desarrolladores de malware llevan años publicando versiones universales. AMOS, Banshee y la mayoría de stealers funcionan perfectamente en cualquier Mac actual, intel o ARM.
¿Sirve el modo Lockdown de Apple para protegerme?
Solo si eres objetivo de ataques sofisticados tipo Pegasus o spyware mercenario. El modo Lockdown desactiva muchas funciones útiles a cambio de una superficie de ataque mínima. Para usuarios normales es excesivo y limita el uso diario sin aportar protección frente a las amenazas habituales.
¿Qué hago si he instalado una app sospechosa hace una hora?
Desconecta el Mac de la red inmediatamente. Cambia contraseñas críticas (banco, email principal, gestor de contraseñas) desde otro dispositivo. Revoca sesiones activas en servicios importantes. Ejecuta Malwarebytes y revisa LaunchAgents. Si la app accedió al Llavero, considera reinstalación limpia de macOS y restauración selectiva de datos.
El siguiente paso
Abre System Settings ahora mismo, ve a General → Software Update y aplica todos los parches pendientes. Mientras se descargan, instala BlockBlock y KnockKnock de objective-see.org. Diez minutos de trabajo que reducen drásticamente tu exposición al malware apple activo en 2026.
