Una nueva campaña de ciberataques está poniendo en riesgo a miles de usuarios de MacOS en todo el mundo, y México no es la excepción. Bajo una técnica conocida como watering hole (agujero de riego), los atacantes están infectando sitios legítimos —incluyendo dominios aparentemente oficiales o inofensivos como el de la Beca Benito Juárez— con scripts maliciosos que activan una peligrosa cadena de engaños.
Esta técnica consiste en comprometer páginas web que las víctimas potenciales suelen visitar. En lugar de enviar correos maliciosos (phishing), los hackers esperan a que la víctima llegue por sí sola, como si se tratara de una trampa camuflada en una página aparentemente normal.
El modus operandi: ¿cómo funciona este ataque?
Al ingresar a uno de estos sitios comprometidos desde una computadora Mac, la página muestra un falso CAPTCHA (como los que te piden confirmar que no eres un robot). Ese CAPTCHA no es real. Si el usuario da clic, se activa una serie de pasos ocultos:
- El sitio detecta si es una Mac mediante el User-Agent del navegador.
- Si es positivo, ejecuta un contrato de blockchain de Binance Smart Chain usando una técnica llamada EtherHiding, que oculta el código malicioso en la cadena de bloques.
- Se copia de forma automática un comando extraño al portapapeles del usuario.
- La página invita al usuario a abrir la Terminal de macOS y pegar el código (bajo pretextos falsos como solucionar errores del navegador).
- Al ejecutarlo, el código descarga un script que instala un malware llamado Atomic Stealer, diseñado para robar contraseñas, información bancaria, billeteras de criptomonedas y datos del sistema.
¿Quién descubrió este ataque?
El primero en identificar este mecanismo fue el investigador Vesec, quien lo bautizó como MacReaper, por su capacidad de robar grandes cantidades de información sin ser detectado fácilmente. El ataque aprovecha infraestructura descentralizada (blockchain) y técnicas avanzadas como JavaScript ofuscado, contratos inteligentes y ejecución en Terminal para lograr su objetivo.
Tras la publicación de Vesec, el analista de ciberseguridad Nicolás Azuara, quien es director de Nico Tech Tips, verificó que al menos 29 sitios con dominios mexicanos están comprometidos, incluyendo páginas como:
- becabenitojuarez.mx
- sistemaderiego.mx
- elresbaladero.com.mx
- hellobody.mx
- outletdemarcas.com.mx
Azuara logró confirmar que 21 de ellos seguían activos y potencialmente peligrosos.
Un ejemplo real: la página falsa de la beca Benito Juárez
Publimetro México revisó el dominio becabenitojuarez.mx, que simula ser el sitio oficial del gobierno mexicano para las becas del bienestar, pero en realidad no está vinculado a ninguna instancia oficial. En dispositivos macOS, esta página despliega un falso CAPTCHA diseñado para ejecutar los pasos del ataque descrito anteriormente.
Este dominio fue registrado recientemente y no cuenta con certificados SSL válidos, lo que representa una señal clara de advertencia. Aunque su apariencia es similar a la de un sitio legítimo, en el fondo contiene código JavaScript malicioso que redirige al usuario hacia una infraestructura digital controlada por los atacantes.
¿Cómo protegerte si tienes Mac?
- Nunca pegues comandos en Terminal que no entiendas. Esa es la clave de este ataque.
- Verifica siempre las URL: el sitio legítimo de las Becas Benito Juárez es gob.mx/becasbenitojuarez
- Evita instalar software desde sitios no verificados.
- Usa antivirus compatible con macOS, aunque se crea que las Mac no se infectan, esta campaña prueba lo contrario.
Un ataque de alcance global
Vesec identificó cerca de 3 mil sitios web podrían estar comprometidos en todo el mundo. Se trata de una campaña masiva, silenciosa y dirigida específicamente a usuarios de Mac que acceden de forma orgánica (es decir, sin necesidad de correos maliciosos).
Este tipo de ataques representan una nueva generación de fraudes digitales mucho más difíciles de detectar, ya que el propio usuario es quien, sin saberlo, instala el malware.
