PamStealer: nuevo malware para macOS emplea técnicas sofisticadas para evadir sistemas de detección

Qué pasó
La firma de seguridad Jamf descubrió una familia de malware previamente desconocida que apunta a computadores con sistema operativo macOS. El código, bautizado PamStealer, fue identificado tras analizar una imagen de disco que suplantaba la identidad de Maccy, una aplicación legítima de gestión de portapapeles ampliamente utilizada en el ecosistema Apple.
El malware opera mediante una arquitectura de dos etapas. La primera fase se distribuye como una imagen de disco que, al ser ejecutada, solicita al usuario presionar la combinación de teclas Comando-R. Esta acción permite activar código malicioso embebido en un archivo AppleScript, el cual a su vez descarga y despliega la segunda etapa del ataque mediante un descargador basado en JavaScript para Automatización (JXA).
Según el informe de Jamf, PamStealer se distingue de otros códigos maliciosos comunes para macOS por varias razones técnicas. En primer lugar, su segunda etapa está escrita en Rust, un lenguaje de programación que ofrece un mayor control sobre el comportamiento del binario y dificulta el análisis forense. Adicionalmente, el malware utiliza la interfaz de Módulos de Autenticación Conectables (PAM), un componente nativo de macOS, para validar la contraseña de inicio de sesión del usuario infectado antes de enviarla a un servidor controlado por los atacantes.
El informe detalla que el código malicioso implementa diversas estrategias para reducir su visibilidad. Se hace pasar por Finder, la aplicación nativa de gestión de archivos de Apple, cifra el tráfico hacia sus servidores de comando y control, y retrasa hasta cuarenta minutos la solicitud de acceso a disco completo, con el objetivo de que dicha actividad no coincida temporalmente con el momento de ejecución inicial.
Contexto
El hallazgo de PamStealer se enmarca en una tendencia creciente de sofisticación del malware dirigido a equipos macOS. Históricamente, el sistema operativo de Apple fue percibido como más seguro que sus competidores, lo que derivó en una menor inversión en soluciones de protección por parte de usuarios corporativos y consumidores finales. Sin embargo, durante los últimos años, investigadores de seguridad han documentado un aumento sostenido en el desarrollo de amenazas específicas para esta plataforma.
La elección de Rust como lenguaje de programación para el componente principal del malware resulta particularmente significativa. Este lenguaje, adoptado ampliamente en la industria del software, permite generar binarios eficientes y portables, además de ofrecer características que dificultan la ingeniería inversa. Varios grupos de operadores de ransomware y desarrolladores de malware han migrado hacia Rust en los últimos años precisamente por estas propiedades.
Por otra parte, el uso de la interfaz PAM para validar credenciales localmente representa un avance respecto de técnicas tradicionales de captura de contraseñas. Este enfoque no solo permite a los atacantes confirmar que la contraseña obtenida es válida antes de enviarla, sino que también reduce el volumen de datos exfiltrados y, en consecuencia, disminuye la probabilidad de levantar alertas en sistemas de monitoreo corporativo.
Impacto para empresas chilenas
En el mercado local, donde la penetración de equipos Mac en el sector corporativo y entre profesionales independientes ha crecido de forma sostenida, PamStealer representa un riesgo tangible. Empresas chilenas de distintos tamaños, así como profesionales y emprendedores que utilizan dispositivos Apple como herramienta principal de trabajo, podrían verse expuestos si descargan aplicaciones desde
Para las pymes chilenas, en particular, este tipo de amenazas plantea desafíos específicos. Muchas de estas organizaciones han adoptado equipos macOS bajo el supuesto de una mayor seguridad inherente, sin implementar políticas complementarias de protección, respaldo o monitoreo. La sofisticación de PamStealer, que evade mecanismos básicos de detección, pone en evidencia la necesidad de incorporar soluciones de seguridad empresarial, incluso en entornos tradicionalmente considerados menos expuestos.
El caso también subraya la importancia de reforzar la capacitación de los colaboradores en materia de ciberseguridad. El vector de infección inicial depende de la interacción del usuario, quien debe ejecutar la imagen de disco y presionar una combinación de teclas específica. Programas de formación y campañas internas de concienciación continúan siendo, según especialistas, una de las líneas de defensa más efectivas frente a este tipo de amenazas en el entorno corporativo nacional.
Qué sigue
De acuerdo con los investigadores de Jamf, PamStealer forma parte de una evolución más amplia del malware para macOS, caracterizada por cadenas de ejecución más silenciosas y un mayor uso de componentes nativos del sistema operativo. Esta tendencia sugiere que las próximas amenazas dirigidas a equipos Apple continuarán incorporando técnicas diseñadas para minimizar su huella forense y retrasar su detección.
Para empresas y usuarios, el hallazgo refuerza la recomendación de descargar aplicaciones exclusivamente desde fuentes oficiales, mantener actualizados tanto el sistema operativo como las soluciones de seguridad, y supervisar periódicamente los procesos activos en los dispositivos corporativos.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados

Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.

Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.

Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.