Apple añade una capa de protección que detecta y alerta cuando un usuario intenta pegar comandos potencialmente peligrosos en Terminal, el vector principal de los ataques ClickFix que dominaron 2025.
Apple ha introducido una nueva característica de seguridad en macOS Tahoe 26.4 que advierte a los usuarios cuando intentan pegar comandos potencialmente peligrosos en la aplicación Terminal. El mecanismo, descubierto por usuarios en Reddit y X durante la última semana, intercepta la ejecución de instrucciones sospechosas y muestra una alerta antes de permitir que el comando se ejecute, proporcionando una barrera crítica contra los ataques de ingeniería social conocidos como ClickFix.
La advertencia, titulada "Possible malware, Paste blocked", informa al usuario que su Mac no ha sido dañada y que los estafadores frecuentemente incentivan a pegar texto en Terminal para comprometer el sistema o vulnerar la privacidad. El mensaje enumera los canales habituales de distribución, sitios web, agentes de chat, aplicaciones, archivos o llamadas telefónicas. Si el usuario reconoce el comando y decide continuar, puede hacer clic en "Paste Anyway" para proceder con la ejecución.
Según las pruebas realizadas por usuarios de la comunidad r/MacOSBeta, la alerta aparece una sola vez por sesión de Terminal. En los tests reportados, comandos destructivos conocidos no dispararon alertas adicionales después de que la primera advertencia fue descartada, lo que sugiere que el sistema no mantiene un registro persistente de comandos bloqueados durante la sesión activa.
Por otro lado, comandos considerados inofensivos no activaron la advertencia, indicando que Apple implementa algún tipo de análisis heurístico sobre el contenido pegado, aunque la compañía no ha documentado públicamente los criterios de detección.
El objetivo principal de esta funcionalidad es contrarrestar los ataques ClickFix, una técnica de ingeniería social que engaña a los usuarios para que infecten sus propios dispositivos ejecutando comandos maliciosos. Según datos de Malwarebytes, ClickFix fue responsable de más de la mitad de toda la actividad de loaders de malware durante 2025.
La metodología es particularmente efectiva porque los usuarios ejecutan voluntariamente el payload, eludiendo las protecciones tradicionales de seguridad. Originalmente diseñada para Windows, las campañas migraron rápidamente hacia macOS, donde los usuarios menos técnicos raramente comprenden las implicaciones de ejecutar comandos en Terminal.
MacRumors reportó que aún no se ha determinado con precisión qué comandos activan la advertencia, y esta no aparece en todos los casos. Esta inconsistencia es deliberada desde una perspectiva de seguridad, revelar los patrones de detección permitiría a los desarrolladores de malware ajustar sus payloads para evadir el filtro. Sin embargo, también significa que los usuarios no deben depender exclusivamente de esta protección.
Apple no ha publicado documentación técnica sobre el alcance del mecanismo, incluyendo si aplica únicamente a comandos pegados desde Safari o si también cubre otras fuentes como aplicaciones de terceros, scripts automatizados o sesiones SSH remotas.
FUENTE ORIGINAL
MacRumors↗CURADO POR
Santiago Torres