CloudMensis, el spyware para macOS que utiliza la nube para espiar a usuarios

Investigadores detectaron CloudMensis, un malware para macOS que espía a través de servicios de almacenamiento en la nube, extrayendo datos y registrando actividad de los usuarios.

Editorial Team · May 30, 2026 · 2 min de lectura · Fuente: elarchivo.es

Un malware dirigido a equipos macOS fue identificado recientemente utilizando plataformas de almacenamiento en la nube para facilitar su funcionamiento y comunicación con sus operadores. Este software malicioso, llamado CloudMensis, tiene como propósito principal espiar a los usuarios al extraer documentos, registrar las pulsaciones del teclado y capturar pantallas de manera sigilosa.

CloudMensis fue hallado en abril por especialistas en seguridad de ESET. Está desarrollado en Objective-C y cuenta con versiones para arquitecturas Intel y Apple silicon. Aunque se desconoce cómo se infectan los dispositivos, se sabe que el proceso malicioso ocurre en dos etapas: la primera etapa se encarga de descargar la segunda, más avanzada, desde un proveedor de almacenamiento en la nube protegido mediante un token de acceso, evitando enlaces públicos. En el caso analizado, el servicio empleado fue pCloud.

El malware consta de dos componentes principales: execute, el downloader o descargador inicial que activa la segunda etapa, y Client, el agente dañino que ejecuta las acciones de espionaje sobre el equipo comprometido. Los nombres internos y rutas de estos componentes aparecen en el código analizado, indicando un desarrollo organizado bajo el nombre de proyecto "BaD" alojado en un subdirectorio llamado "LeonWork".

CloudMensis no figura entre los malware más complejos, pero debido a sus capacidades y método de distribución, coincidió en tiempo con anuncios oficiales de Apple sobre amenazas a sus usuarios. Para protegerse, Apple lanzó el modo Lockdown para iOS, iPadOS y macOS, una función que bloquea las vulnerabilidades más explotadas por este tipo de software para ganar acceso y ejecutar código malicioso.

Activar el modo Lockdown puede limitar la funcionalidad en la experiencia de usuario, pero es una medida recomendada para reducir significativamente la superficie de ataque en dispositivos que pueden estar en riesgo. Esta estrategia resulta especialmente relevante ante amenazas que emplean servicios legítimos de la nube para ocultar su actividad y evitar la detección tradicional.