Los detalles del intento de fraude y las claves para eludir los riesgos.
Especialistas en seguridad informática revelaron los detalles de una ciberestafa elaborada que combinó anuncios en la red social X, suplantación de identidad y promesas para los usuarios de computadoras comercializadas por Apple.
El intento de fraude, cuyos pormenores fueron divulgados por la división de investigación de la empresa Jamf, se presentaba como una solución para las MacBook cuando, en rigor, esparcía un programa malicioso en forma silenciosa.
Una estafa con anzuelos en la red social X y carnadas para los usuarios de MacBook
El engaño comenzaba con anuncios publicados desde cuentas verificadas en X que promocionaban una aplicación para las MacBook. En concreto, los delincuentes se hacían pasar por los desarrolladores de DynamicLake, una utilidad legítima para las computadoras de Apple que convierte la muesca de la pantalla en una sección funcional. La app original no es oficial, pero es útil y segura.
En este caso, el anuncio —que ya fue eliminado de la red social— dirigía a una descarga de malware, pidiendo a las víctiamas que peguen un código. Según explicaron los investigadores, el enlace conducía a un dominio malicioso sin ninguna relación con la aplicación legítima.
Tal como señala el sitio 9toMac, se trata de un ataque ClickFix. Esta es una técnica de ingeniería social, que pretende engañar a los usuarios en lugar de vulnerar directamente a los sistemas. En este caso, los ciberdelincuentes simulan fallas en los sistemas, por ejemplo con advertencias de virus o pedidos de actualización. Con este ardid, llevan a los usuarios a copiar y pegar código malicioso en forma manual, y así el malware se instala en forma sigilosa.
“Lamento profundamente que alguien haya querido instalar DynamicLake y, en cambio, haya descargado este malware. Es simplemente una aplicación que trae Dynamic Island para Mac. Jamás imaginé que alguien abusaría de la marca de esta manera”, comentó el desarrollador de la utilidad que fue suplantada.
Claves para evitar este tipo de engaños
Siguiendo a la fuente, es preciso tener presente que una aplicación legítima nunca pedirá que copies y pegues código en forma manual.
Por lo demás, teniendo en cuenta una máxima para eludir los fraudes basados en ingeniería social, en general, las descargas siempre hay que realizarlas desde las plataformas oficiales.