Cuidado en X: el anuncio peligroso que tenés que borrar de tu pantalla para que no te hackeen

Investigadores de Jamf Threat Labs detectaron una campaña activa en X que usa anuncios patrocinados para distribuir malware en Mac. Los avisos imitan aplicaciones legítimas y redirigen a sitios falsos donde engañan al usuario para que ejecute un comando malicioso desde la Terminal.

03 de julio, 2026 | 14.29

El sistema de anuncios de X ya era señalado por su baja calidad desde que Elon Musk asumió el control de la red social. Ahora el problema es más grave: investigadores de seguridad detectaron que actores maliciosos están usando los anuncios pagos de la plataforma para distribuir malware directamente entre los usuarios de Mac.

Cómo funciona el engaño

El caso documentado por Jamf Threat Labs involucra a DynamicLake, una aplicación real y popular para macOS que convierte el notch del MacBook en algo similar a la Isla Dinámica del iPhone. Los atacantes tomaron el nombre, las imágenes promocionales reales de la app y armaron una campaña de tuits patrocinados que apunta a un sitio web falso con una URL casi idéntica a la original.

El único indicio visible de que el anuncio es falso es la URL del sitio al que redirige. La diferencia entre el dominio legítimo y el fraudulento es de apenas unos caracteres, difícil de notar a simple vista en la pantalla del celular o en una lectura rápida.

Una vez en el sitio falso, la víctima encuentra instrucciones para instalar el programa que le piden ejecutar un comando directamente en la Terminal del Mac. Si el usuario lo hace, en lugar de instalar la app descarga e instala malware de forma silenciosa. Esta técnica tiene nombre: se llama ClickFix y está siendo adoptada cada vez más por grupos de atacantes porque aprovecha la confianza del usuario en los pasos de instalación convencionales.

Qué tipo de malware se instala

Según el análisis de Jamf, el software malicioso distribuido en esta campaña es una variante de Atomic Stealer, un infostealer capaz de extraer contraseñas, cookies, datos del navegador, archivos del sistema y hasta billeteras de criptomonedas. En casos similares detectados recientemente, también apareció DigitStealer como variante alternativa. Ambos operan de forma silenciosa una vez instalados.

Cómo protegerse

La recomendación central es no ejecutar comandos de Terminal que lleguen a través de instrucciones de instalación en sitios web, especialmente si el acceso a ese sitio vino desde un anuncio en redes sociales. Para instalar apps en Mac, siempre conviene verificar si están disponibles en la Mac App Store o descargarlas directamente desde el sitio oficial del desarrollador, chequeando con cuidado la URL antes de hacer clic. Si el programa no está certificado por Apple y pide abrir la Terminal como paso de instalación, es una señal de alerta.