Kaspersky advierte que la confianza en servicios de inteligencia artificial está siendo utilizada como anzuelo para propagar software malicioso.
Kaspersky dio a conocer una nueva campaña de fraude digital dirigida a usuarios de computadores Mac, en la que los atacantes aprovechan anuncios patrocinados en Google y sitios web que simulan pertenecer a ChatGPT. De acuerdo con la compañía de ciberseguridad, las víctimas son inducidas a seguir una falsa “guía de instalación” de una herramienta denominada ChatGPT Atlas, que en realidad sirve como vehículo para introducir malware en el sistema.
El engaño se inicia cuando la persona hace clic en un anuncio que aparenta ser legítimo y termina en una página que imita una conversación compartida de ChatGPT. En ese entorno, se presentan instrucciones simples —como copiar y pegar una línea de comandos en la aplicación Terminal de macOS— que aparentan formar parte de un proceso normal. Sin saberlo, el usuario activa la descarga e instalación de un programa diseñado para robar información y dejar el equipo expuesto a accesos posteriores.
Según el análisis técnico de Kaspersky, al ejecutar el comando indicado se descarga un archivo desde el dominio externo atlas-extension[.]com. Este programa solicita reiteradamente la contraseña del sistema, simulando una verificación legítima, hasta que la víctima introduce la clave correcta.
Una vez obtenida la contraseña válida, el software instala AMOS, un malware especializado en la extracción de datos. Este código malicioso recopila credenciales, información almacenada en navegadores y archivos personales, y se instala sin levantar alertas visibles, operando en segundo plano. Además, utiliza la contraseña recién capturada para asegurar su permanencia en el sistema.
Los investigadores explican que esta técnica corresponde a un método conocido como ClickFix, en el cual el propio usuario es persuadido para ejecutar comandos que descargan e inician código dañino desde servidores controlados por los atacantes.
Tras su activación, AMOS reúne información que puede ser vendida o reutilizada en futuros ataques. El malware busca contraseñas, cookies y otros datos de navegadores populares; información de monederos de criptomonedas como Electrum, Coinomi y Exodus; y datos de aplicaciones como Telegram Desktop y OpenVPN Connect. También examina archivos con extensiones TXT, PDF y DOCX en carpetas como Escritorio, Documentos y Descargas, además de notas guardadas en la app Notas, y envía todo este contenido a infraestructura bajo control criminal.
De forma paralela, la amenaza instala una puerta trasera configurada para ejecutarse automáticamente al reiniciar el sistema, lo que otorga acceso remoto persistente al equipo comprometido y replica gran parte del comportamiento de recolección de datos de AMOS.
Esta campaña se inscribe en una tendencia más amplia observada en 2025, donde los infostealers se han convertido en una de las amenazas de crecimiento más acelerado. Los atacantes están experimentando con temáticas ligadas a la inteligencia artificial, herramientas falsas de IA y contenidos generados por IA para aumentar la credibilidad de sus engaños. Casos recientes incluyen extensiones de navegador falsas y supuestos clientes de modelos populares; el uso de “Atlas” amplía esta práctica abusando de funciones legítimas de plataformas de IA, como el intercambio de conversaciones.
“Este ataque no destaca por su complejidad técnica, sino por la forma en que explota hábitos cotidianos de los usuarios”, señala Eduardo Chavarro, director del equipo de respuesta a incidentes para América en Kaspersky. “Un anuncio patrocinado que parece auténtico, una página bien diseñada y una única instrucción presentada como parte de una instalación normal son suficientes para que muchas personas bajen la guardia. Esa combinación permite que el sistema quede comprometido y bajo control de terceros durante largos periodos”.
Recomendaciones de seguridad
Para reducir el riesgo de caer en este tipo de engaños, los especialistas de Kaspersky sugieren:
- Desconfiar de instrucciones que pidan usar Terminal o PowerShell: cualquier sitio o mensaje no solicitado que solicite copiar comandos es una señal de alerta.
- Detenerse si no se comprende lo que se está haciendo: ningún proceso que implique comandos debe ejecutarse sin entender su función.
- Buscar asesoría antes de ejecutar instrucciones desconocidas: consultar a personas con mayor conocimiento o verificar el comando con herramientas de seguridad o IA antes de usarlo.
- Proteger todos los dispositivos con software de seguridad confiable: mantener soluciones de protección actualizadas ayuda a detectar y bloquear amenazas de este tipo.
Para conocer más consejos sobre cómo resguardar tu vida digital, visita el blog de Kaspersky.