Alerta ClickFix: el nuevo malware que se roba tus contraseñas de Mac con un falso CAPTCHA (y cómo protegerte)

📋 Lo que necesitás saber (lectura 6 min)

• ⚠️ Una campaña de malware llamada ClickFix está atacando Macs activamente con falsos CAPTCHAs desde mayo 2026
• 🔑 El ataque te roba todas las contraseñas del Keychain + cookies de sesión de Safari y Chrome
• 🛡️ Apple ya metió protección en macOS Tahoe 26.4 — actualizar tu Mac es urgente
• 💡 La protección número 1 es el sentido común: ningún CAPTCHA real te pide abrir Terminal

⚠️ ¿Qué es ClickFix y por qué debería importarte?

ClickFix es una de las campañas de malware más ingeniosas —y peligrosas— que han aparecido en 2026. Detectada por Netskope Threat Labs, Microsoft, Malwarebytes y SentinelOne este mismo mes de mayo, la campaña está diseñada específicamente para atacar usuarios de Mac.

Lo brillante —y lo aterrador— del malware ClickFix es que no intenta hackear tu Mac. En su lugar, te convence a vos de que ejecutés el ataque haciéndote creer que estás verificando que «no sos un robot». Es ingeniería social de alto nivel, y está funcionando.

🔍 Cómo funciona el ataque ClickFix paso a paso

El ataque es simple en su ejecución pero devastador en sus consecuencias.

1. Encontrás un CAPTCHA falso en una página web, un anuncio patrocinado de Google, o un tutorial fraudulento en Medium, Squarespace o GitHub. A veces se disfraza de chat de Claude o de descarga de herramientas populares.
2. Te pide copiar y pegar un comando en Terminal para «verificar que sos humano». Ningún CAPTCHA real funciona así.
3. Lo pegás y ejecutás. El comando despliega un AppleScript que abre un diálogo idéntico al de macOS pidiendo tu contraseña.
4. El diálogo no tiene botón de cerrar y hace loop infinito hasta que ponés tu contraseña. La presión psicológica hace que la mayoría la ingrese.
5. Una vez que ingresás tu contraseña, el malware roba TODO: el Keychain completo (contraseñas de WiFi, apps, sitios web), cookies de sesión activas de Safari y Chrome, billeteras de criptomonedas, datos de iCloud, y archivos multimedia.

⚠️ ADVERTENCIA IMPORTANTE
Las cookies de sesión robadas son el premio gordo del ataque: permiten a los atacantes saltarse completamente la autenticación de dos factores (MFA) y acceder a tus cuentas bancarias, email y redes sociales como si fueran vos.

🦠 Las 3 variantes del malware ClickFix

Los investigadores han identificado al menos tres versiones distintas circulando simultáneamente:

La variante Macsync es particularmente peligrosa porque explota la confianza en herramientas de IA. Los atacantes crean chats públicos de Claude que parecen tutoriales legítimos con «instrucciones de instalación» que en realidad son comandos maliciosos.

🇨🇷 ¿Por qué esto es peligroso para vos en Costa Rica?

ClickFix no discrimina por país. Cualquier persona con una Mac —MacBook, iMac, Mac Mini— está expuesta. Y en Costa Rica, el riesgo es real por varias razones:

• 🇨🇷 Banca en línea: si usás Safari o Chrome para acceder a tu banco (BN, BAC, BCR, Davivienda, Popular), las cookies de sesión robadas les dan acceso directo a los atacantes.
• 🇨🇷 Wallets de criptomonedas: si manejás crypto desde tu Mac, las vacían sin que te enteres.
• 🇨🇷 Keychain es la bóveda de todo: la mayoría de usuarios de Mac guardan TODAS sus contraseñas ahí sin pensarlo dos veces. Es lo primero que roba ClickFix.
• 🇨🇷 Macs desactualizadas: en el taller de TecniSistemas vemos Macs todos los días, y la mayoría están con versiones de macOS anteriores a Tahoe 26.4 — sin la protección de Terminal que Apple metió en marzo.
• 🇨🇷 Falsa sensación de seguridad: persiste el mito de que «las Macs no tienen virus». ClickFix se aprovecha exactamente de esa confianza.

🚩 5 señales para detectar un falso CAPTCHA

La buena noticia: los CAPTCHAs falsos tienen patrones. Aprendé a reconocerlos:

1. Te pide abrir Terminal. Ningún CAPTCHA real —de Google, Cloudflare o quien sea— te va a pedir jamás que abras una aplicación de sistema. Si ves «Abrí Terminal», cerrá la página.
2. Te pide COPIAR y PEGAR un comando. Los CAPTCHAs se resuelven haciendo clic en imágenes, escribiendo caracteres o moviendo un slider. No copiando código.
3. La página tiene errores de ortografía o diseño inconsistente. Aunque las versiones más recientes usan IA para pulir el texto, todavía hay señales: dominio raro, íconos mal alineados, logotipos pixelados.
4. La URL no es la que esperás. Si dice «claude-chat.info» en vez de «claude.ai», o «google-verify.net» en vez de «google.com», ya sabés.
5. Hay un contador regresivo o amenaza. Frases como «Quedan 3 intentos», «Su cuenta será bloqueada», o «Verificación urgente» son tácticas de presión diseñadas para que no pienses.

💡 TIP RÁPIDO
Si alguna vez dudás: cerrá la página y andá directo al sitio oficial escribiendo la URL vos mismo. No uses el anuncio patrocinado de Google — los atacantes pagan por posicionar anuncios falsos arriba de los resultados reales.

🛡️ 5 pasos para protegerte del malware ClickFix

Protegerse de ClickFix es más fácil de lo que parece. Son 5 pasos concretos:

Paso 1 — Actualizá tu Mac YA
Andá a Ajustes del Sistema > General > Actualización de software. Si tu Mac soporta macOS Tahoe 26.4 o superior, instalalo. Esta versión incluye una protección en Terminal que te avisa cuando pegás comandos de fuentes no confiables — diseñada específicamente para frenar ClickFix. Si estás en Sequoia, Sonoma o Ventura, estás completamente expuesto.

Paso 2 — NUNCA copiés y pegués comandos de internet en Terminal
Si un tutorial, una página o un supuesto soporte técnico te dice «copiá este comando en Terminal», preguntate: ¿esto tiene sentido? Si la respuesta no es un SÍ rotundo y seguro, no lo hagas. Si de verdad necesitás ejecutar un comando, primero entendé qué hace y de dónde viene.

Paso 3 — Instalá Malwarebytes Browser Guard
Es una extensión gratuita para Safari y Chrome que detecta sitios que intentan manipular tu portapapeles o redirigirte a páginas falsas. Bajala de malwarebytes.com (directo, no de un anuncio).

Paso 4 — No hagás clic en «anuncios patrocinados» de Google
Si buscás «Claude para Mac», «descargar Visual Studio Code», o cualquier herramienta popular, los primeros resultados que ves suelen ser anuncios pagados por atacantes. Andá directo al sitio oficial escribiendo la URL.

Paso 5 — Si ya caíste, actuá INMEDIATAMENTE
Cambiá tu contraseña de Mac desde Preferencias del Sistema. Cambiá las contraseñas de tus cuentas bancarias, email, iCloud y redes sociales desde OTRO dispositivo (no desde la Mac comprometida). Cerrá sesión en todos los navegadores. Después, llevá la Mac a un técnico para eliminar los LaunchAgents maliciosos que el malware pudo haber instalado como persistencia.

✅ Lo que tenés que hacer hoy

• ✅ Actualizá tu Mac — Ajustes > General > Actualización de software. Instalá la versión más reciente de macOS que soporte tu equipo.
• ✅ Revisá tus hábitos — ¿Alguna vez copiaste y pegaste un comando de internet en Terminal? Si la respuesta es sí, revisá tus contraseñas.
• ✅ Instalá Malwarebytes Browser Guard — extensión gratuita que bloquea sitios que manipulan el portapapeles.
• ✅ Hablá con tu familia — si en tu casa hay alguien menos técnico con Mac, explicale en 2 minutos: «si te pide abrir Terminal, es falso».

🍎 ¿Qué está haciendo Apple al respecto?

Apple no se ha quedado de brazos cruzados. En marzo de 2026, con la actualización macOS Tahoe 26.4, introdujo una protección específica: ahora Terminal muestra una advertencia cuando pegás comandos de fuentes no confiables. Antes de esta versión, Terminal no tenía absolutamente ninguna protección contra este tipo de ataque.

Sin embargo, hay un problema: muchos usuarios —y empresas— retrasan las actualizaciones de macOS por semanas o meses. El artículo de 9to5Mac del 23 de mayo argumenta que la ventana de 90 días que Apple permite para diferir actualizaciones es demasiado larga en la era de los ataques con IA. Tres meses sin la protección de Terminal es una eternidad cuando hablamos de una campaña activa.

💡 Dato clave
Gatekeeper —la tecnología de Apple que verifica apps antes de ejecutarlas— no protege contra ClickFix. El malware no es una aplicación que descargás; es un script que vos mismo copiás y pegás en Terminal. Por eso actualizar macOS es crítico.

🛒 ¿Tenés dudas sobre la seguridad de tu Mac?

🛒 ¿Creés que tu Mac pudo haber sido comprometida?

En TecniSistemas hacemos diagnóstico de seguridad, limpieza de malware y actualización de macOS. Traé tu equipo al taller en San José — la revisión inicial no tiene costo.

👉 Servicios técnicos
💬 Consultá por WhatsApp

❓ Preguntas frecuentes

¿Cómo sé si mi Mac ya tiene el malware ClickFix?
Revisá ~/Library/LaunchAgents/ en Finder (usá Ir > Ir a la carpeta). Buscá archivos .plist con nombres raros como com.google.keystone.agent.plist o cualquier cosa que no reconozcas. También revisá Activity Monitor por procesos con nombres sospechosos. Si dudás, un técnico puede hacer un diagnóstico completo.

¿Necesito comprar un antivirus para mi Mac?
No necesariamente. Malwarebytes (versión gratuita) + macOS actualizado + no copiar comandos de internet cubren el 95% de los riesgos. Los antivirus de pago suman capas adicionales, pero la primera línea de defensa sos vos y tu criterio.

¿Las Macs no eran inmunes a los virus?
Nunca lo fueron. Es un mito que persiste desde los 2000. Lo que pasaba era que había menos malware para Mac simplemente porque había menos Macs en el mercado. Hoy, con millones de MacBooks en uso, los atacantes invierten tiempo en desarrollar malware para macOS. ClickFix es la prueba más reciente.

¿Qué hago si ya puse mi contraseña en el diálogo falso?
Cambiá tu contraseña de Mac inmediatamente desde Preferencias del Sistema. Después, cambiá las contraseñas de banca en línea, email, iCloud y redes sociales desde otro dispositivo. Cerrá sesión en todas partes. Llevá la Mac a un técnico para eliminar cualquier persistencia (LaunchAgents) que el malware haya instalado.

¿Esto afecta también a iPhones y iPads?
No directamente. ClickFix ataca a macOS porque necesita que abras Terminal, y Terminal no existe en iOS o iPadOS. Sin embargo, si tu Mac está comprometida y sincronizás contraseñas por iCloud Keychain, los atacantes pueden acceder a las contraseñas que usás en todos tus dispositivos Apple.

📚 Más artículos que te pueden interesar

• Privacidad IA: 5 datos que NUNCA debés compartir en 2026 — La seguridad digital empieza por lo que vos decidís compartir.
• Windows 11 en 2026: todo lo que trae la actualización más importante del año — Así como macOS, Windows también necesita updates frecuentes. No los postergués.

📋 Fuentes

• macOS ClickFix Campaign: AppleScript Stealers & New Terminal Protections — Netskope Threat Labs, mayo 2026
• Why the ClickFix campaign means it is time to kill the 90 day update deferral — 9to5Mac, 23 mayo 2026
• ClickFix campaign uses fake macOS utilities lures to deliver infostealers — Microsoft Security Blog, 6 mayo 2026
• Fake Claude search results lure Mac users into ClickFix attack — Malwarebytes, mayo 2026
• New infostealer malware hides on Mac disguised as official Apple tools — SentinelOne / AppleInsider, 18 mayo 2026

👤 Opinión del editor — TecniSistemas CR

Es irónico: durante años nos vendieron la idea de que las Macs «eran seguras», y ahora el ataque más efectivo contra ellas no es un virus sofisticado — es un diálogo falso que no te deja cerrarlo hasta que entregás tus contraseñas. La tecnología puede protegerte de muchas cosas, pero no de la urgencia que sentís cuando un cartel te dice «quedan 3 intentos». Esa urgencia es humana, y es exactamente lo que ClickFix explota.