Falsa guía de ChatGPT instala malware en Mac y permite a atacantes acceder a la información del usuario

Kaspersky advirtió que los atacantes están explotando la confianza en plataformas de
IA para distribuir software malicioso.
29 de diciembre de 2025
Kaspersky alertó sobre una nueva estafa digital que apunta a usuarios de Mac y que se
aprovecha de anuncios pagados en Google y de páginas que parecen provenir del sitio oficial
de ChatGPT. Según la empresa, los atacantes logran que las víctimas sigan una supuesta
“guía de instalación” de una herramienta llamada ChatGPT Atlas, cuando en realidad se trata
de instrucciones falsas diseñadas para instalar un programa malicioso.
La trampa comienza cuando el usuario hace clic en un anuncio que parece legítimo y es
dirigido a una página que imita una conversación compartida de ChatGPT. Allí se presentan
pasos aparentemente simples, como copiar y pegar una línea de código en la aplicación
Terminal del Mac. Al hacerlo, sin darse cuenta, la víctima instala un software que roba
información personal y deja el equipo abierto para que los atacantes puedan volver a entrar
más adelante.
El análisis de Kaspersky revela que, una vez que el usuario ejecuta el comando, este
descarga un pequeño programa desde el sitio externo atlas-extension[.]com. Ese programa
pide varias veces la contraseña del Mac, como si fuera algo legítimo, para comprobar que la
víctima introduce la correcta.
Cuando el sistema obtiene la contraseña válida, descarga AMOS, un software malicioso
diseñado para robar información del usuario, como contraseñas, datos guardados en el
navegador y archivos personales. Con la contraseña que acabó de obtener, el programa logra
instalar AMOS sin que el usuario lo note y deja el malware funcionando en segundo plano.
Los investigadores explican que este método forma parte de una técnica conocida como
ClickFix, en la que el atacante convence al usuario de ejecutar por sí mismo un comando que
trae e inicia código dañino desde servidores bajo control de los criminales.
Después de la instalación, AMOS recopila datos que pueden monetizarse o reutilizarse en
intrusiones posteriores. El malware apunta a contraseñas, cookies y otra información de
navegadores populares; datos de monederos de criptomonedas como Electrum, Coinomi y
Exodus; e información de aplicaciones como Telegram Desktop y OpenVPN Connect.
También busca archivos con extensiones TXT, PDF y DOCX en las carpetas Escritorio,
Documentos y Descargas, así como archivos almacenados por la aplicación Notas, y luego

exfiltra estos datos a infraestructura controlada por los atacantes. Paralelamente, el ataque
instala una puerta trasera configurada para iniciarse automáticamente al reiniciar, que
proporciona acceso remoto al sistema comprometido y duplica gran parte de la lógica de
recopilación de datos de AMOS.
La campaña refleja una tendencia más amplia en la que los infostealers se han convertido en
una de las amenazas de más rápido crecimiento en 2025, con atacantes que experimentan
activamente con temas relacionados con IA, herramientas falsas de IA y contenido generado
por IA para aumentar la credibilidad de sus señuelos. Las oleadas recientes han incluido
barras laterales falsas de IA para navegadores y clientes fraudulentos para modelos
populares; la actividad temática de Atlas amplía este patrón abusando de la función legítima
de compartir contenido de una plataforma de IA.
“Este ataque funciona no porque use una técnica avanzada, sino porque aprovecha
elementos que a los usuarios les resultan totalmente familiares”, explica Eduardo Chavarro,
director del equipo de respuesta a incidentes para América en Kaspersky. “Un anuncio
patrocinado que parece legítimo, una página que luce profesional y un único comando
presentado como parte de una instalación normal bastan para que muchas personas relajen
su cautela. Esa combinación de confianza y simplicidad abre la puerta a que el sistema quede
completamente comprometido y bajo control de los atacantes durante mucho tiempo”.
Para evitar caer en este tipo de vulnerabilidades, los expertos de Kaspersky recomiendan:
 Desconfiar de cualquier guía que pida abrir Terminal o PowerShell: Si una página,
mensaje o “tutorial” que no pediste te dice que copies un comando en tu computador,
tómalo como una señal de alerta.
 Cerrar la página o borrar el mensaje si no entiendes lo que te piden: Nada que
requiera escribir comandos debería seguirse a ciegas. Si tienes dudas, es mejor
detenerse.
 Pedir ayuda antes de ejecutar algo desconocido: Consulta a alguien de confianza
con más experiencia o usa una herramienta de IA o de seguridad para preguntar qué
hace ese comando. Si no puedes verificarlo, no lo ejecutes.
 Usar una solución de seguridad en todos tus dispositivos: Instala y mantén
actualizado un software de seguridad confiable que pueda detectar y bloquear
amenazas de este tipo.
Para más información sobre cómo proteger tu vida digital, visita nuestro blog.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda
inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en
soluciones y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos en
todo el mundo. El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital de
dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones
Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y
a cerca de 200,000 clientes corporativos a proteger lo que más valoran. Más información en: www.kaspersky.com

Kaspersky en redes sociales:
X: @KasperskyLatino           IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam    IN: Kaspersky Lab Latinoamérica