Una nueva amenaza pone en jaque la seguridad de los usuarios de macOS. Se trata de una versión mejorada de Banshee Stealer, un malware diseñado para robar información sensible que ha logrado pasar desapercibido por los sistemas de seguridad gracias a una técnica preocupante: usar el propio cifrado XProtect de Apple para ocultarse.
Aunque macOS es conocido por ser un sistema más seguro que otros, Banshee ha demostrado que eso ya no es garantía de protección. El malware no solo roba datos personales, contraseñas y cookies de navegación, sino que también evade los antivirus más avanzados al utilizar herramientas legítimas de Apple para camuflarse.
La historia detrás de este malware es tan inquietante como su funcionamiento. Banshee surgió a mediados de 2024 como un servicio de robo de información vendido en foros clandestinos por 3000 dólares, pero todo cambió cuando su código fuente se filtró en noviembre de ese mismo año. Esto permitió que otros desarrolladores de malware accedieran a él y lo mejoraran, convirtiéndolo en una amenaza mucho más sofisticada y peligrosa.
El resultado es una nueva versión del malware que lleva dos meses evadiendo detección mientras roba datos de las víctimas. Lo más preocupante es que utiliza una herramienta nativa de Apple, como el cifrado XProtect, diseñada para proteger a los usuarios. ¿Cómo puede un mecanismo de seguridad terminar siendo utilizado en nuestra contra? ¿Y qué se puede hacer para protegerse? Si crees que los dispositivos Apple están a salvo de los ciberdelincuentes, este artículo podría hacerte cambiar de opinión.
Según los investigadores de Check Point Research, que fueron quienes descubrieron una de las últimas versiones de Banshee, el malware ahora tiene un truco bastante preocupante: usa un método de cifrado que le permite camuflarse entre las operaciones normales del sistema y parecer completamente legítimo, mientras en segundo plano se dedica a robar información confidencial del dispositivo infectado.
Otro dato curioso (y bastante raro) es que antes Banshee evitaba infectar sistemas de usuarios rusos… pero ya no lo hace. Parece que los desarrolladores de esta nueva versión decidieron que ahora todos son un objetivo válido, sin importar de dónde seas.
Grupos de la campaña actual de ladrones de Banshee (Fuente: Check Point)
¿Qué es el cifrado XProtect y cómo lo usa Banshee a su favor?
Por si no lo sabes, XProtect es la herramienta de detección de malware que viene integrada en macOS. Básicamente, funciona como un antivirus básico de Apple: tiene un conjunto de reglas (algo parecido a las firmas que usan los antivirus tradicionales) que le permiten identificar y bloquear malware conocido.
Ahora, aquí viene lo interesante de la historia: la nueva versión de Banshee Stealer tomó prestado un algoritmo de cifrado de cadenas que el propio XProtect utiliza para proteger sus datos. En otras palabras, el malware está usando la misma tecnología que Apple creó para protegerte… pero para esconderse de los antivirus.
¿Cómo lo hace?. Banshee codifica sus cadenas de texto (como URLs, comandos, nombres de archivos) y las mantiene ocultas hasta que realmente las necesita, es decir, solo las descifra durante la ejecución. Esto significa que, cuando los antivirus o las herramientas de seguridad escanean el archivo, no pueden ver nada sospechoso, porque la información dañina está cifrada. Así, el malware logra evadir los métodos de detección estática, esos que buscan patrones de texto sospechosos en los archivos.
Y hay más. Parece que macOS y algunas soluciones antimalware de terceros tratan esta técnica de cifrado de manera menos agresiva, ya que es similar a lo que usa XProtect. ¿El resultado? Banshee puede operar sin ser detectado durante más tiempo, lo que le da a los ciberdelincuentes una ventana perfecta para robar datos sensibles antes de que alguien se dé cuenta.
Es como si un ladrón se vistiera con el uniforme de la policía para cometer un robo: nadie lo cuestiona porque parece que está haciendo su trabajo. Eso es exactamente lo que está haciendo Banshee con el cifrado de Apple.
Podría interesarte leer: Aumento de Ciberataques en 2025: ¿Cómo afectarán a las empresas?
¿Cómo roba tus datos Banshee Stealer?
La nueva versión de Banshee Stealer está dando de qué hablar por su capacidad de robar información confidencial de los usuarios de macOS. ¿Cómo se está distribuyendo? Principalmente a través de repositorios falsos en GitHub y mediante software pirateado o suplantado que parece legítimo, pero que en realidad lleva el malware oculto.
Y ojo, que no solo apunta a usuarios de macOS. Los mismos operadores también están distribuyendo otro malware llamado Lumma Stealer para infectar dispositivos con Windows, ampliando así el alcance de sus ataques.
Aunque la operación oficial de "malware como servicio" de Banshee cerró en noviembre después de que se filtrara su código fuente, el daño no terminó ahí. Desde entonces, han seguido surgiendo campañas de phishing que utilizan ese mismo código para propagar el malware de manera constante.
Pero, ¿qué es lo que roba exactamente este ladrón de información? Banshee tiene como objetivo los datos almacenados en navegadores populares como Chrome, Brave, Edge y Vivaldi. Esto incluye:
- Contraseñas guardadas.
- Extensiones de autenticación en dos pasos (2FA).
- Extensiones de billeteras de criptomonedas.
Además, recopila información del sistema y de la red del dispositivo infectado. Y, para rematar, presenta ventanas de inicio de sesión falsas de macOS diseñadas para engañar a las víctimas y robar sus contraseñas del sistema. Básicamente, mientras crees que estás ingresando tu contraseña de manera segura, en realidad se la estás entregando al malware.
Este tipo de ataques muestra cómo los ciberdelincuentes se están volviendo cada vez más sofisticados, atacando directamente los puntos débiles de los usuarios y logrando acceder a información extremadamente sensible sin levantar sospechas. Así que, si alguna vez pensaste que tu Mac era inmune a este tipo de amenazas, es momento de replanteártelo.
