La popularidad de la inteligencia artificial conversacional —y, en concreto, el uso masivo de ChatGPT— ha creado el escenario perfecto para que aparezcan nuevas estafas online. El truco es viejo, pero el envoltorio es nuevo: manuales que prometen ser útiles, supuestas herramientas “oficiales” y guías bien escritas que, en realidad, esconden campañas diseñadas para tomar el control del equipo y vaciarlo de información sensible.
En los últimos días, la firma de ciberseguridad Kaspersky ha puesto el foco en una campaña activa dirigida a usuarios de Mac. El anzuelo es una falsa guía de instalación de ChatGPT para macOS que presenta una herramienta llamada “ChatGPT Atlas”. Sobre el papel suena cómoda, incluso lógica. En la práctica, sirve para desplegar el infostealer AMOS y dejar una puerta trasera persistente en el sistema.
Cómo arranca la estafa: anuncios en Google y páginas que imitan a ChatGPT
Todo empieza de una forma que no levanta demasiadas sospechas. Anuncios patrocinados en Google. Resultados bien posicionados cuando alguien busca “cómo instalar ChatGPT en Mac” o algo parecido. A simple vista parecen enlaces legítimos, casi oficiales, de esos que uno pincha sin pensarlo dos veces.
Al entrar, el usuario llega a una web que imita una conversación compartida de ChatGPT o un portal supuestamente vinculado al servicio. Diseño limpio. Textos bien redactados. Ese aire profesional que transmite tranquilidad. Nada chirría. Y ahí está la clave.
La página propone un tutorial paso a paso para instalar “ChatGPT Atlas”. El procedimiento se presenta como algo habitual para usuarios avanzados: copiar y pegar una línea de código en la app Terminal de macOS. Si alguna vez has seguido una guía técnica de Apple, esto te resultará familiar. Demasiado familiar.
Pero esa única línea es el corazón del engaño. Al ejecutarla, el sistema descarga desde un servidor externo un pequeño instalador asociado a un dominio controlado por los atacantes. Es el primer eslabón de una cadena que ya no es tan fácil de romper.
De la contraseña del Mac al robo masivo de datos con AMOS
A partir de ahí, el instalador empieza a pedir la contraseña del Mac. Varias veces. Supuestamente, para completar tareas que requieren permisos de administrador. En realidad, lo que hace es comprobar que la clave es correcta y usarla después para desplegar el malware con todos los privilegios posibles, sin levantar sospechas. Un movimiento que recuerda a técnicas pensadas para esquivar protecciones como Touch ID.
Una vez validada la contraseña, entra en escena AMOS. Silencioso. Discreto. Se ejecuta en segundo plano, sin ventanas raras ni mensajes de error. Y empieza a trabajar.
Su objetivo es claro: vaciar el Mac de información valiosa. Primero, contraseñas guardadas, cookies y credenciales de los navegadores. Con eso, los atacantes pueden entrar en servicios online sin conocer directamente las claves. Luego vienen aplicaciones muy comunes en el día a día, tanto personal como profesional, como clientes de mensajería cifrada o herramientas de acceso remoto.
AMOS también busca documentos. Archivos TXT, PDF, DOCX en Escritorio, Documentos o Descargas. Y notas almacenadas en la app Notas. Lugares donde solemos guardar contratos, informes, apuntes con datos sensibles o información interna de empresa sin pensarlo demasiado.
Y hay más. El malware intenta localizar monederos de criptomonedas populares para acceder a los fondos y moverlos a carteras bajo control de los atacantes. Aquí el riesgo ya no es solo de privacidad, sino económico, directo y muy real.
Todo lo que encuentra se envía a servidores externos. A partir de ahí, esos datos pueden venderse, reutilizarse en otros ataques o servir como base para extorsiones personalizadas. En muchos casos, la víctima no se da cuenta hasta que algo falla: accesos raros, movimientos extraños, cuentas comprometidas.
ClickFix: cuando el propio usuario abre la puerta
Uno de los puntos que más preocupa a los investigadores no es tanto la sofisticación técnica de AMOS, sino cómo se llega hasta él. La campaña se apoya en una técnica conocida como ClickFix. Aquí no se explota una vulnerabilidad del sistema, sino la confianza del usuario.
El comando de Terminal es el detonante. No hay un exploit espectacular. Hay una orden que la víctima introduce convencida de que forma parte de un proceso legítimo recomendado por un servicio conocido.
Según el análisis, la combinación es perfecta: anuncio pagado que parece fiable, página que imita con bastante precisión el estilo de ChatGPT y un único comando presentado como algo rutinario. El usuario llega con prisa, buscando una solución rápida. Todo encaja. Y las defensas bajan.
Desde Kaspersky lo resumen bien: el éxito del ataque está en que todo resulta familiar. Y cuando algo nos resulta familiar, solemos dejar de cuestionarlo.
Puerta trasera persistente y control remoto del Mac
La historia no termina con AMOS. En paralelo, la campaña instala una puerta trasera que se ejecuta automáticamente cada vez que el Mac se reinicia. Esta backdoor asegura acceso remoto continuo al equipo.
Con ella, los atacantes pueden volver cuando quieran, actualizar el malware, lanzar nuevas cargas o usar el Mac como trampolín para moverse dentro de una red doméstica o corporativa. Para el usuario, lo peor es que todo puede seguir funcionando “normal”. El Mac arranca, las apps abren, nada parece fuera de sitio… mientras la información sigue saliendo por debajo.
En Europa, y especialmente en España, donde es habitual usar el mismo equipo para trabajo y vida personal, una intrusión así puede comprometer documentos internos, comunicaciones con clientes o datos sujetos a normativas de protección. Las consecuencias no son solo técnicas; también pueden ser legales y reputacionales.
Infostealers e IA como gancho: una tendencia al alza
El caso de la falsa guía de ChatGPT encaja en una tendencia clara que ha ganado fuerza durante 2025: el auge de los infostealers. Robar información se ha convertido en una vía rápida y rentable para los grupos criminales.
A esto se suma el tirón de la inteligencia artificial. Aplicaciones falsas, extensiones “milagro”, clientes de escritorio que prometen ser oficiales… El nombre de la IA se ha convertido en un cebo perfecto. La operación “ChatGPT Atlas” aprovecha justo eso: logos reconocibles, interfaces cuidadas y textos técnicos bien escritos.
No hace falta un malware revolucionario. Basta con un buen disfraz.
Consejos prácticos para usuarios de Mac en España y Europa
Ante este panorama, los expertos insisten en algo muy concreto: desconfianza sana. Si una guía pide abrir Terminal y ejecutar comandos que no entiendes, es una señal de alarma. Especialmente si te dicen “copia y pega esto tal cual” sin explicar qué hace.
Cuando haya dudas, mejor parar. Pedir una segunda opinión. Consultar fuentes oficiales. O simplemente cerrar la página. Ninguna funcionalidad “extra” de IA merece entregar las llaves del equipo.
En entornos de trabajo, la formación básica en ciberseguridad es cada vez más importante. No todo lo que suena a “oficial”, “IA” o “ChatGPT” lo es. Y un simple descuido puede abrir la puerta a algo mucho más grande.
Por último, los especialistas recomiendan usar soluciones de seguridad actualizadas también en macOS. El sistema de Apple tiene buenas protecciones, sí, pero añadir una capa extra que detecte infostealers, bloquee conexiones sospechosas y avise de comportamientos anómalos puede marcar la diferencia.
Todo lo ocurrido con esta falsa guía de ChatGPT deja una lección clara: en un mundo lleno de anuncios bien diseñados y tutoriales que parecen impecables, tomarse un momento para dudar, comprobar y entender qué estamos haciendo ya no es opcional. Es parte esencial de la seguridad digital.
Fuente: Actualidad iphone
Añadir comentario
Comentarios