Acabo de ponerme al día con algo que está circulando en los círculos de seguridad y vale la pena prestar atención si estás en el espacio cripto. Los investigadores han confirmado que Lazarus Group—el grupo vinculado a Corea del Norte que ha estado detrás de algunos de los mayores robos en criptomonedas—está ejecutando una nueva campaña de malware para macOS. Esta se llama Mach-O Man, y se distribuye a través de algo llamado ClickFix, un marco de ingeniería social que lanza una red bastante amplia tanto en negocios tradicionales como en empresas de cripto.

Esto es lo que realmente está sucediendo: las víctimas reciben lo que parece ser una invitación legítima a un calendario para una llamada de Zoom o Google Meet. Parece normal, ¿verdad? Pero una vez que hacen clic, se les pide que ejecuten algunos comandos que silenciosamente descargan el malware en segundo plano. Es inteligente porque evita muchos controles de seguridad estándar en los que confía la mayoría de la gente. Todo está diseñado para recolectar credenciales, datos del navegador, cookies y entradas del llavero—básicamente cualquier cosa valiosa que esté en tu máquina. Una vez que captura todo, lo comprime y lo envía a través de Telegram antes de eliminarse por completo.

Lo que vale la pena destacar aquí es que esto ya no se trata solo de cripto. Lazarus ha estado ampliando constantemente su alcance de objetivos en los últimos meses. Los vimos infiltrarse en Zerion en abril usando ingeniería social mejorada con IA para obtener credenciales del equipo y claves privadas. Antes de eso, hubo la gran brecha en un intercambio en 2025 que alcanzó los 1.400 millones de dólares—aún una de las mayores pérdidas en cripto registradas. El patrón es claro: están volviéndose más sofisticados y más ambiciosos.

El ángulo de macOS es particularmente interesante porque muchos equipos de seguridad han enfocado históricamente más en entornos Windows. Eso ha dejado algunos vacíos, especialmente en controles de aplicaciones y conciencia del usuario en sistemas Apple. Lazarus claramente lo ha notado y lo está explotando.

Para cualquiera que dirija un negocio de cripto o gestione infraestructura sensible, esto es una llamada de atención. La combinación de ingeniería social más robo de credenciales sigue siendo uno de los vectores de ataque más difíciles de defender. Si aún no estás pensando en acceso con privilegios mínimos, listas blancas de aplicaciones y monitoreo de secuencias extrañas de descarga y ejecución, es momento de hacerlo. También vale la pena revisar qué datos podrían estar filtrándose a través de canales inesperados como Telegram.

La conclusión más amplia: incluso cuando las amenazas específicas de cripto permanecen en los titulares, los atacantes están expandiendo su alcance a otros sectores. Eso significa que la superficie de ataque para intercambios, custodios y proveedores de infraestructura sigue creciendo. Mantente atento a este espacio—probablemente veremos nuevas variantes de este malware con trucos de evasión aún mayores. La convergencia de ingeniería social, robo automatizado de credenciales y autodestrucción se está convirtiendo en un problema real para los defensores en toda la industria.