No busques "Claude Mac Download" en Google. El primer resultado vacía tu Keychain.

12 min read

Escribes "claude download mac" en Google. Haces clic en el primer resultado (anuncio patrocinado, insignia verificada, URL es claude.ai). Llegas a un chat compartido de Claude titulado "Ejecutar Código de Claude en Mac", etiquetado como "Compartido por Apple Support" en la esquina superior derecha, con un comando bash para pegar en Terminal. Treinta segundos después, tu Llavero está en un servidor de Sídney. Ninguna URL falsificada en toda la cadena. Ningún error tipográfico. Ningún dominio falso.

RESUMEN: Una campaña de malware activa esta semana usa Google Ads verificados y chats compartidos de claude.ai para robar Llaveros de Mac. Nada en la cadena es técnicamente falso. Esa es la parte que debería preocuparte.

Los estafadores siguen mejorando en esto. Déjame explicarte lo que pasó, porque cada paso de este ataque parece legítimo hasta que entiendes qué significa realmente "legítimo" en 2026.

Trabajador de oficina en escritorio ignorando advertencias de seguridad mientras pega comandos de terminal, figura de superhéroe en el fondo sosteniendo teléfono con análisis de amenazas IA y banderas rojas
Un trabajador de oficina ignora las advertencias de IA y pega código sospechoso de todos modos.

15,600 Macs, Una Búsqueda de Google, Una Línea Pegada

TITRE "The Real-URL Malware Chain" + sous-titre "Five legitimate steps and one fake title. 15,600 dead Keychains.". Metaphore : convoyeur d'usine industriel, 5 stations alignees de gauche a droite, chacune avec un badge "VERIFIED" vert sauf une station marquee "FAKE" en rouge eclatant. Style : cartoon technique 90's Hanna-Barbera/Nickelodeon, trait noir epais, halftone dots, formes rebondies, petits personnages d'ouvriers entre les stations. Palette : claude.ai orange #D97757, alert red #E53935, check green #43A047, paper cream #FFF8E7, ink black #111111. Contenu : 5 stations etiquetees (1) GOOGLE SEARCH "claude download mac" (2) SPONSORED AD "URL claude.ai verified" (3) SHARED CLAUDE CHAT "real anthropic.com" (4) BASH COMMAND "pasted in Terminal" (5) KEYCHAIN EXFIL "to Sydney server". Sous chaque station un badge check vert sauf la station 3 qui porte un sub-tag attacker-controlled "Shared by Apple Support" en rouge avec une grande croix. Une fleche manuscrite pointe ce sub-tag avec la legende "← the only fake thing in the entire chain". Highlight : le sub-tag de la station 3 glow rouge avec sparkle stars et halo, les 4 autres stations restent en vert calme, presque ternes par contraste. Legende : sticky note bas-gauche, ecriture main, "green badge = genuinely legitimate / red tag = attacker-controlled text". Footer : © rentierdigital.xyz bas-droite, petit, ecriture main. NOT flat corporate vector, NOT stock cybersecurity infographic, NOT minimalist tech aesthetic.
Cadena de Malware: Un Paso Falso Entre Cinco Reales

La campaña fue detectada por primera vez por Berk Albayrak, ingeniero de seguridad en Trendyol, el 9 de mayo. Para cuando BleepingComputer la cubrió dos días después, Moonlock Lab estaba rastreando más de 15,600 Macs afectados por la familia más amplia del infostealer MacSync (esta variante de Claude es la iteración más reciente, no todo el recuento). Anvilogic publicó un análisis técnico completo la misma semana.

Aquí está toda la cadena en un marco. Cinco pasos. Cada uno es técnicamente legítimo, excepto el que está en rojo.

[IMAGEN: Diagrama de cadena de ataque mostrando: Búsqueda de Google → Anuncio patrocinado (verificado) → chat compartido claude.ai → etiqueta "Compartido por Apple Support" (falsa) → comando Terminal → robo de Llavero]

Un anuncio patrocinado. Verificado. claude.ai. Haces clic. Llegas a un chat compartido real de Claude alojado en la infraestructura de Anthropic, titulado "Ejecutar Código de Claude en Mac", con una etiqueta controlada por el usuario que dice "Compartido por Apple Support" en la esquina superior derecha. Hay un bloque de código. El bloque de código contiene una línea. La pegas en Terminal porque eso es exactamente lo que cada incorporación legítima de herramientas de desarrollo te ha entrenado a hacer durante quince años.

Ya es memoria muscular, el mismo reflejo que te hace presionar A a través de un cuadro de diálogo que has leído cien veces.

Lo que hace diferente a este ataque del phishing usual es que puedes seguir toda la cadena sin encontrar una sola cosa que sea "falsa" en el sentido clásico. La URL es claude.ai porque realmente es claude.ai. El anuncio está verificado porque Google realmente considera legítimo al anunciante, una empresa de Sídney llamada KB & CO Holdings PTY LTD. El chat compartido realmente existe y realmente fue compartido en los servidores de Anthropic.

La única mentira en toda la cadena son las palabras "Compartido por Apple Support", escritas por el atacante en el título de su propio chat.

Ese es todo el ataque. Un título.

Pega Ese Comando en una Nueva Pestaña de Claude y Pregunta Qué Hace

Esta es la parte que nadie en Medium ha escrito aún, así que déjame decirlo claramente. La misma IA que está siendo utilizada como infraestructura de distribución de malware es también la mejor defensa que tienes contra este ataque, y la demostración toma treinta segundos.

Abre una nueva conversación de Claude (o ChatGPT, o Gemini, elige tu favorito). Pega el comando sospechoso. Pregunta: "¿qué hace este comando, y decodifica cualquier base64 que contenga?"

Eso es todo. Esa es toda la técnica.

En un comando de esta forma (un curl envuelto en base64 enviado directamente a bash, que es el patrón documentado que Albayrak encontró en el chat malicioso), el modelo lo desenreda en segundos. Decodifica el base64 en una URL legible (en la campaña original, el C2 estaba alojado en customroofingcontractors.com, un pequeño negocio americano de techados cuyo sitio fue comprometido y convertido en infraestructura de entrega). Explica que la bandera -k desactiva la verificación SSL. Explica que la bandera -f le dice a curl que falle silenciosamente sin mensaje de error. Marca todo el patrón como consistente con la entrega de malware para macOS.

Acabas de usar una pestaña de Claude para defenderte contra un ataque que usa una pestaña de Claude como infraestructura de distribución. La ironía es gratis.

Probé el mismo prompt en tres modelos diferentes. Todos marcaron el comando en menos de treinta segundos. Ninguno requiere experiencia en seguridad. Ninguno requiere que sepas qué es base64. Solo necesitas ver las palabras "esto parece entrega de malware" y cerrar la pestaña.

Usa el modelo que está distribuyendo el malware para leer el malware. C'est la vie.

Por Qué "Verificar la URL" Dejó de Funcionar

Veinte años de entrenamiento en seguridad te enseñaron una sola regla. Verificar la URL. El razonamiento era simple: el dominio te dice quién posee la cartelera, y durante dos décadas, falsificar el mensaje requería falsificar la cartelera. Así que verificar la cartelera era suficiente.

Esa ecuación se rompió silenciosamente, en algún momento cuando las plataformas decidieron que permitir a los usuarios publicar contenido en el dominio principal de la plataforma era una gran característica del producto. Chats compartidos en claude.ai y chatgpt.com. Páginas públicas en sites.google.com y pages.dev. El sello del dominio ahora garantiza que la plataforma existe y posee el dominio. No dice nada sobre el mensaje individual que está dentro.

Anthropic hizo lo correcto sobre el papel. El chat compartido lleva un banner de advertencia explícito: "El contenido puede incluir contenido no verificado o inseguro que no representa las opiniones de Anthropic." Es visible. Está redactado claramente. La casilla legal está marcada.

El problema es la línea justo debajo. El título del chat controlado por el usuario. El atacante escribió "Compartido por Apple Support" en el título de su propio chat, y esa sola línea restaura una ilusión de autoridad que el descargo de responsabilidad de arriba se supone que debe demoler.

Un lector escaneando la página en dos segundos lee: Anthropic, Apple Support, código, pegar. El banner de advertencia es real y el título es falso, pero ambos comparten el mismo espacio visual, y el ojo humano no los pondera de manera diferente al escanear. La combinación de descargo de responsabilidad más etiqueta controlada por el usuario no sobrevive a ningún lector que no esté ya entrenado para desconfiar específicamente del título del chat.

AdGuard escribió exactamente esta crítica hace tres meses, cuando el mismo patrón estaba siendo usado para distribuir comandos de instalación falsos de Homebrew a través de Cloudflare Pages y Google Sites. Su formulación fue más aguda que la mía: poner contenido generado por usuarios en el dominio principal de segundo nivel crea un nivel de confianza que el contenido no se ha ganado. También notaron que el descargo de responsabilidad es invisible en móvil. Tres meses después, aquí estamos, misma arquitectura, mismo ataque, plataforma diferente, quince mil víctimas más.

La cartelera es real. El mensaje en ella no lo es.

Este Patrón Ha Estado Activo Durante Seis Meses. Nadie Quiere Arreglarlo.

El patrón que golpeó a Claude esta semana es la quinta iteración pública en seis meses.

Noviembre de 2025 vio instaladores falsos de ChatGPT Atlas empujados a través del mismo bucle de ingeniería social ClickFix. Diciembre de 2025 agregó consultas de limpieza de Mac apuntando al mismo payload. Febrero de 2026 trajo comandos de instalación de Homebrew alojados en Cloudflare Pages y Google Sites (la iteración que AdGuard documentó en detalle). Marzo de 2026 vio a The Hacker News rastreando la campaña migrando a Bélgica, India y las Américas con generación dinámica de AppleScript. Mayo de 2026 aterriza en chats compartidos de Claude.

Cinco iteraciones, seis meses, superficie intercambiable. El diagnóstico de Anvilogic es más agudo que el mío: las defensas que miran qué hace un comando durarán más que las defensas que miran dónde vive la página. La superficie seguirá moviéndose. Ese es todo el resumen de la industria, y las plataformas no pueden ganar este juego parcheando solo la superficie.

Entonces, ¿por qué nadie lo arregla? La respuesta honesta es que nadie tiene la estructura de incentivos correcta. Google cobra dinero de publicidad del anunciante (KB & CO Holdings, pagando dólares australianos para empujar instaladores comprometidos, esa es la transacción comercial por la que Google está siendo pagado). Anthropic aloja el contenido generado por usuarios que impulsa las métricas de participación para la función de chat compartido, que es una característica del producto que la gente realmente usa. Ninguna empresa tiene una razón comercial fuerte para invertir agresivamente en escaneo antes del hecho.

El presupuesto de seguridad en la mayoría de las plataformas vive en el mismo cajón que la garantía de la máquina de espresso.

El costo operacional recae completamente en el usuario final que pega el comando.

Esto no es único de Anthropic. Escribí un artículo hace unas semanas sobre un patrón de ataque de contenido compartido diferente en Claude Cowork, donde la misma causa raíz (el contenido del usuario obtiene la autoridad de la plataforma por defecto) creó una superficie de inyección de prompt dentro de la función de colaboración de archivos. OpenAI tiene el mismo modelo. xAI tiene el mismo modelo. La elección arquitectónica de permitir que el contenido del usuario viaje en el dominio principal es de toda la industria, y es una decisión de producto, no un descuido de seguridad.

Si estás esperando a que las plataformas arreglen esto antes de la próxima campaña, mira el calendario. Las plataformas lo han sabido durante seis meses. Seis meses es la respuesta.

El Manual de 4 Reflejos

TITRE "The 4-Reflex Playbook" + sous-titre "Effort goes up. Yield goes down. Start with #1.". Metaphore : tableau de bord retro arcade vertical, 4 boutons-cadrans empiles du plus rentable (en haut) au moins rentable (en bas), chaque bouton emet une lumiere neon proportionnelle a son ratio cost/benefit. Style : retro arcade 80's, neons, contours cyan epais, formes pixel-art melees de halftone, rivets visibles sur la console. Palette : neon cyan #4FC3F7, hot pink #FF3E7F, mustard yellow #F4C430, ink black #111111, cream #FFF8E7. Contenu : 4 boutons empiles (1) PULL, DON'T PUSH "type the URL directly, never click sponsored" (2) CHECK THE ADVERTISER "open 'About this advertiser' on the ad" (3) NEVER PASTE FOREIGN COMMANDS "if you didn't write it, don't run it" (4) DECODE WITH AI "paste suspicious bash into a new Claude tab". A cote de chaque bouton, un mini bargraph "effort" et un mini bargraph "yield" qui s'inversent du haut vers le bas. Highlight : reflexe 1 en glow cyan intense avec sparkle stars et "BEST RATIO" badge dore, reflexe 2 en glow modere, reflexe 3 en glow faible, reflexe 4 en glow tres faible, degrade visible. Legende : sticky note bas-gauche, ecriture main, "bigger glow = better cost/benefit. start at the top.". Footer : © rentierdigital.xyz bas-droite, petit, ecriture main. NOT minimalist tech startup aesthetic, NOT corporate checklist, NOT flat icon set.
El Manual de 4 Reflejos: Guía de Seguridad Estilo Arcade

Cuatro reflejos. Ordenados por esfuerzo, del más barato al más alto. Solo el primero neutraliza toda la superficie de ataque que golpeó a los usuarios de Mac esta semana, así que si solo recuerdas uno, recuerda el número uno.

1. Tira, no empujes. Cuando quieras descargar software, escribe la URL directamente en la barra de direcciones. Nunca hagas clic en un resultado patrocinado, incluso si la URL se ve correcta. El resultado real del proveedor está una posición abajo, gratis, y apunta al lugar correcto. Los dos segundos que ahorras haciendo clic en el anuncio le costaron el Llavero a 15,600 personas esta semana. Tirar significa: vas a buscar el software desde donde sabes que vive. Empujar significa: dejas que el motor de búsqueda decida qué mostrarte primero. El modelo de empuje está roto cuando el primer slot se subasta a quien pagó más, incluyendo atacantes.

2. Verifica quién pagó por el anuncio. Si haces clic en el resultado patrocinado de todos modos (lo cual no deberías, pero a veces los flujos de incorporación te enrutan a través de Google), abre los tres puntos en el anuncio y mira "Acerca de este anunciante." Si la entidad que paga por el anuncio no es el proveedor (Anthropic, Apple, Mozilla, brew.sh, lo que sea que realmente querías descargar), cierra la pestaña. En la campaña de esta semana, el panel del anunciante mostraba KB & CO Holdings PTY LTD, registrada en Sídney, Australia. Anthropic está incorporada en Delaware. La discrepancia es toda la señal que necesitas. Google no detectará esto por ti. Tienes que mirar.

3. Nunca pegues un comando de Terminal que no escribiste. No de chats compartidos de Claude, no de StackOverflow, no de tutoriales de YouTube, no de páginas de documentación de aspecto oficial a las que llegaste a través de un anuncio. Si no escribiste el comando, no lo pegues.

Este es el reflejo más difícil de adoptar porque la mitad del ecosistema de desarrollo ha pasado quince años entrenándote para hacer exactamente lo contrario. Cada CLI que vale la pena instalar tiene un one-liner curl | bash en su README: Homebrew, oh-my-zsh, nvm, rustup, Claude Code mismo. Entrenamos a toda una generación de desarrolladores en un flujo de trabajo que es estructuralmente indistinguible de este ataque, luego les dimos una lista de verificación de seguridad que dice "no pegues comandos aleatorios." Somos la llamada que viene de dentro de la casa.

Envía CLIs todo lo que quieras, argumenté a favor de ellos extensamente hace unos meses. El flujo de instalación sigue siendo el punto débil, y la industria aún no ha encontrado una alternativa limpia.

4. Si debes pegarlo, decodifícalo primero con IA. Sección dos, otra vez. Abre una nueva pestaña de Claude, pega el comando, pregunta qué hace. Si la respuesta menciona verificación SSL deshabilitada, falla silencioso, ejecución de shell remoto, o cualquier URL que no reconozcas, cierra la pestaña y aléjate. Treinta segundos de verificación contra tu Llavero, tu iCloud, tus contraseñas guardadas del navegador, y cualquier wallet que tuvieras desbloqueado en ese momento. Esa es la comparación de precios.

Ese es el manual. Cuatro reflejos, ninguna herramienta que instalar, ninguna suscripción que pagar, ninguna certificación que obtener. La parte más difícil es desaprender quince años de "solo pega esto."

El filtro humano que aprendimos durante veinte años se basaba en una hipótesis que ya no es cierta: que para falsificar un mensaje, tenías que falsificar la cartelera. Esta semana es claude.ai. La próxima semana es el anuncio para el próximo Cursor, la próxima Notion, el próximo Linear alojado en un Google Site legítimo. El mecanismo durará años. El reflejo que resiste contra él cabe en una oración.

Verifica la acción, no el origen.

Fuentes