El crecimiento de macOS en entornos corporativos está cambiando su papel dentro del mapa de amenazas. Lo que durante años se percibía como un sistema con menor exposición se ha convertido en un objetivo cada vez más atractivo, especialmente en perfiles técnicos como desarrolladores o equipos DevOps.
Así lo recoge el informe “Bad Apples: Weaponizing native macOS primitives for movement and execution”, que analiza cómo los atacantes están aprovechando funcionalidades nativas del sistema para ejecutar acciones maliciosas sin introducir malware tradicional .
El documento señala que más del 45% de las organizaciones ya utilizan macOS, lo que ha incrementado su valor como puerta de entrada a activos críticos. En este contexto, los investigadores advierten de que “la narrativa de ‘seguridad por oscuridad’ en macOS ha quedado obsoleta” .
Uno de los puntos clave es el uso de técnicas living-off-the-land (LOTL), que consisten en reutilizar herramientas legítimas del sistema. Funcionalidades como Remote Application Scripting permiten ejecutar comandos o controlar aplicaciones de forma remota sin recurrir a mecanismos tradicionales como SSH, operando “dentro del ruido de la actividad legítima” .
El informe también identifica el abuso de metadatos de Spotlight para ocultar código malicioso fuera del análisis convencional, así como el uso de protocolos nativos —SMB, Netcat o Git— para moverse lateralmente sin generar trazas visibles en los sistemas de monitorización habituales.
Más allá de las técnicas, los autores insisten en la necesidad de cambiar el enfoque defensivo. “Los defensores deben pasar del escaneo estático de archivos a monitorizar la cadena de procesos y las anomalías en el comportamiento”, señalan .
El auge de macOS en el puesto de trabajo corporativo está ampliando la superficie de ataque en un entorno donde, además, el conocimiento sobre estas técnicas sigue siendo limitado. En este escenario, la visibilidad sobre lo que ocurre dentro del endpoint se convierte en un elemento clave para anticipar y frenar este tipo de amenazas.
