¿Usas macOS y eres beneficiario de alguna de las Becas Benito Juárez? Es momento de estar alerta. Una nueva y sofisticada campaña de ciberataques está poniendo en riesgo a miles de usuarios de macOS en todo el mundo, y México no es la excepción. Recientemente, hackers lograron infiltrar malware en más de 3,000 sitios web legítimos, incluidos dominios que parecen oficiales o inofensivos, como los relacionados con la Beca Benito Juárez.
A través de una técnica conocida como watering hole, los atacantes comprometen páginas web que las víctimas potenciales visitan con frecuencia. En lugar de enviar correos electrónicos maliciosos o mensajes engañosos, esperan pacientemente a que el usuario llegue por sí solo, como si se tratara de una trampa camuflada en una página aparentemente normal. Estos ciberdelincuentes no buscan datos al azar: están apuntando directamente a quienes usan sistemas Apple y consultan portales educativos.
¿Cómo funciona el ataque?
Cuando entras a uno de esos sitios infectados desde una Mac, lo primero que ves es un CAPTCHA falso (sí, esos que te piden confirmar que no eres un robot). Pero este no es de verdad. Si haces clic, sin saberlo, activas una cadena de acciones ocultas:
-
El sitio revisa si estás usando una Mac (esto lo detecta leyendo la información de tu navegador).
-
Si es así, lanza un truco avanzado: usa un contrato de blockchain en Binance Smart Chain con una técnica llamada EtherHiding. Esta técnica es como esconder el código malicioso dentro de la propia cadena de bloques para que sea más difícil de detectar.
-
Luego, automáticamente copia un comando en tu portapapeles (donde se guardan temporalmente los textos o datos que copias).
-
La página te sugiere (con alguna excusa como "resolver un error del navegador") que pegues ese código en la Terminal de macOS.
-
Si lo haces, el código descarga un script que instala un malware llamado Atomic Stealer. Este programa roba contraseñas, datos bancarios, criptomonedas y hasta información de tu sistema.
Todo esto pasa sin que sospeches, usando sitios que parecen totalmente confiables.
Conoce más sobre: México lidera Ciberataques en el Sector Financiero en América Latina
¿Quién descubrió este ataque?
El primero en detectar este tipo de ataque fue un investigador de ciberseguridad llamado Vesec, quien lo nombró MacReaper por su capacidad de robar grandes cantidades de información sin que el usuario se dé cuenta. Este malware combina varias técnicas avanzadas: usa infraestructura blockchain, JavaScript camuflado, contratos inteligentes y hasta comandos que se ejecutan en la Terminal de macOS.
Después del informe inicial, otros expertos confirmaron que al menos 29 sitios con dominios mexicanos habían sido comprometidos. Entre ellos se encontraron páginas como:
-
becabenitojuarez.mx
-
sistemaderiego.mx
-
elresbaladero.com.mx
-
hellobody.mx
-
outletdemarcas.com.mx
De esos, se comprobó que 21 seguían activos y podrían seguir representando un riesgo.
¿Cómo protegerte si usas Mac?
Aquí algunos consejos prácticos para mantenerte seguro:
-
Nunca pegues comandos en la Terminal si no sabes exactamente qué hacen. Esta es justo la táctica que usan los atacantes.
-
Revisa bien las direcciones web. Por ejemplo, el sitio oficial de las Becas Benito Juárez es gob.mx/becasbenitojuarez.
-
No instales software de páginas que no sean confiables.
-
Usa un buen antivirus para macOS. Aunque muchos piensan que las Mac no se infectan, este caso demuestra que sí puede pasar.
Un ataque que va mucho más allá de México
Vesec también advirtió que esta campaña no es un problema aislado. Se estima que alrededor de 3,000 sitios web en todo el mundo podrían estar comprometidos. Es una operación a gran escala, diseñada para pasar desapercibida y enfocada especialmente en usuarios de Mac que navegan por sitios de confianza, sin caer en correos de phishing ni otros engaños más evidentes.
Este tipo de ataques marcan una nueva etapa en el fraude digital. Ya no buscan forzar al usuario a caer en trampas obvias. Ahora, el propio usuario (sin saberlo) es quien ejecuta el malware en su equipo.
