15 de julio de 2026·5 min de lectura
Seguridad para nómadas digitales: cómo proteger tu portátil tras un ataque real
Un falso captcha, un comando pegado en la Terminal y un infostealer dentro del Mac. Qué pasó estando fuera, cómo lo contuvimos y el kit de seguridad que llevamos ahora.

Estábamos fuera de casa y había partido del Mundial. Las webs oficiales no lo daban en ese país, así que tiramos de la de siempre para ver deporte en streaming. Mala idea: la habían comprometido. Veinte minutos después teníamos un infostealer dentro del Mac y las credenciales del trabajo rotando a toda prisa desde otro dispositivo.
Lo contamos entero —cómo caímos, qué hicimos y con qué kit trabajamos ahora— porque el ataque no fue para incautos. Fue una técnica pensada precisamente para colar a gente que sabe lo que hace.
Cómo caímos: el falso captcha (ClickFix)
Nada de adjuntos raros ni de "príncipe nigeriano". Al entrar en la web saltó uno de esos captchas de "verifica que eres humano". Pero este, en vez del típico "marca los semáforos", pedía algo distinto: abrir la Terminal y pegar un comando para "completar la verificación".
Ahí está el truco. La técnica se llama ClickFix y funciona justo porque el navegador, por sí solo, no puede ejecutar nada en tu sistema: necesita que lo hagas tú a mano. Y si te presenta el paso con suficiente naturalidad —"pega esto y dale a Enter"—, mucha gente competente lo hace sin pensar. Nosotros lo hicimos.
El comando venía codificado en base64 para que no vieras qué hacía. Al descifrarlo era lo de siempre: descargar un script desde un dominio malicioso y ejecutarlo directamente. Un curl … | bash de manual.
Qué hacía el bicho
Era un infostealer de macOS de la familia AMOS/Atomic. En cuanto se ejecutó:
- Se instaló de forma persistente: un LaunchAgent que arranca con el Mac y se relanza si lo matas.
- Salía a internet a buscar su servidor de control y descargar una segunda fase.
- Iba a por lo jugoso: cookies de sesión, contraseñas guardadas en el navegador, el Llavero de macOS, tokens y wallets.
La exfiltración de esos datos ocurre en segundos. Y no era un ataque dirigido contra nosotros: era una red de arrastre, indiscriminada. Eso tranquiliza a medias —nadie te ha señalado—, pero el robo es igual de real.
Qué hicimos en caliente
Lo primero, cortar por lo sano:
- Desconectar el Mac de la red (WiFi y cable) para frenar la exfiltración.
- No borrar nada todavía —ni el archivo del malware— para no cargarnos la evidencia.
- Rotar credenciales desde un dispositivo limpio. Y aquí un detalle que mucha gente se salta: no basta con cambiar la contraseña, hay que cerrar todas las sesiones. Eso es lo que invalida los tokens ya robados. Correo, GitHub (revocando también tokens y claves SSH, que sobreviven al cambio de contraseña), gestor de contraseñas, todo.
Y una decisión que no es técnica pero es la más importante: avisamos en el trabajo, porque parte de las credenciales comprometidas eran del trabajo. Pasó por la cabeza la idea fácil —formatear, callar y dar una excusa—, pero la descartamos rápido. La transparencia era lo correcto y, de paso, lo que te deja bien cuando el marrón es real.
Reconstruir con mejor higiene
Con el equipo reinstalado de cero, montamos el entorno con más cabeza que antes:
- Llaves SSH nuevas con passphrase, no a pelo.
- Tokens con permisos acotados, no todopoderosos.
- El gestor de contraseñas como única fuente de verdad (el nuestro estaba bloqueado durante el ataque, y eso salvó la bóveda).
- Un navegador con protección activa para reducir la exposición a webs como la que nos la lio.
Quedaron flecos —el cambio de contraseña del Apple ID se atascó porque el 2FA por SMS pedía un número al que no llegábamos estando fuera; ironías de la seguridad: la misma 2FA que te bloquea a ti bloquea también al atacante—, pero lo esencial quedó cerrado.
El kit que llevamos ahora
Ninguna de estas herramientas es mágica, pero cada una cubre una parte exacta de lo que nos pasó:
- BlockBlock — vigila los puntos de persistencia de macOS. Habría saltado justo cuando el malware creó ese LaunchAgent para sobrevivir al reinicio. Gratis.
- LuLu — firewall de conexiones salientes. Habría avisado cuando el bicho intentó salir a por su servidor de control. Gratis y open source.
- Malwarebytes — para pasar un escaneo a fondo y quitar restos conocidos.
- Una VPN, para no depender de webs turbias cuando algo tiene geobloqueo —que es justo como empezó todo—. Usamos ProtonVPN por privacidad; NordVPN es la alternativa más popular.
- Un gestor de contraseñas con clave única por sitio: 1Password o Bitwarden (gratis y open source). Que el nuestro estuviera bloqueado marcó la diferencia.
- 2FA en todo lo que puedas, y copias de seguridad para poder formatear sin miedo.
La lección que no cabe en ninguna app
Puedes montar el mejor kit del mundo, pero la defensa que de verdad nos habría ahorrado el susto es una regla de una sola línea:
Nunca pegues en la Terminal un comando que venga de una web, por convincente que parezca la excusa.
Ningún firewall ni antivirus supera a ese hábito. El resto del kit está para cuando el hábito falla. Porque a veces falla, hasta al que cree que no va a picar.
Herramientas mencionadas
También te puede interesar

28 de abril de 2026
NordVPN vs Surfshark vs ProtonVPN — Mejor VPN para nómadas digitales en 2026
Comparativa honesta de las tres VPN más populares entre nómadas digitales. Cuál usar según tu caso, sin marketing y con experiencia real.

26 de marzo de 2026
Kit básico del nómada digital — Lo que usamos de verdad
Las herramientas, apps y trucos que usamos en cada viaje. Sin relleno — solo lo que se ha ganado un sitio en nuestro día a día después de años viajando y teletrabajando.

28 de abril de 2026
Wise vs Revolut vs N26 — Mejor banco digital para nómadas en 2026
Cómo combinar las tres cuentas que más usan los nómadas digitales para mover dinero, gastar fuera y diversificar. Con experiencia real y un aviso sobre el seguro de Revolut.
Algunos enlaces en este artículo son de afiliación. Si compras a través de ellos, recibimos una pequeña comisión sin coste adicional para ti.