Apple ha introducido una nueva característica de seguridad en la versión macOS Tahoe 26.4 que detecta comandos potencialmente peligrosos pegados en Terminal. Cuando se identifican tales comandos, el sistema detiene la ejecución y muestra una advertencia al usuario antes de continuar. Este cambio no se mencionó en las notas de la versión oficial de macOS Tahoe 26.4 y fue notado por primera vez por los usuarios después de que se lanzó la versión candidata.

La medida de seguridad parece estar dirigida a ataques de ClickFix, donde los usuarios son persuadidos para pegar comandos maliciosos en Terminal, generalmente bajo el pretexto de solucionar un problema o verificar algo. Dado que el usuario debe pegar los comandos manualmente, las protecciones de seguridad estándar a menudo se eluden.

Cómo funciona la advertencia de pegado en Terminal de macOS Tahoe 26.4

Cuando un usuario copia un comando de Safari y lo pega en Terminal, el sistema retrasa la ejecución y muestra una advertencia. La advertencia informa a los usuarios que el comando aún no se ha ejecutado y advierte que los estafadores suelen distribuir instrucciones maliciosas a través de sitios web y otros canales.

Los usuarios tienen dos opciones: pueden cancelar el pegado si no confían en la fuente o no están seguros sobre el comando, o pueden continuar con la ejecución si reconocen el comando y desean ejecutarlo. Apple sugiere que los usuarios continúen siempre que comprendan lo que hará el comando.

Según pruebas de usuarios reportadas en Reddit, la advertencia solo aparece una vez por sesión de Terminal. En una prueba, pegar comandos destructivos conocidos utilizados en actividades maliciosas no activó advertencias adicionales después de que se rechazó la primera advertencia. Otro usuario mencionó que pegar comandos inofensivos no activó la advertencia, lo que sugiere que se está realizando algún tipo de análisis de comandos, aunque Apple no ha proporcionado una explicación clara sobre cómo funciona la detección.

Alcance y limitaciones de la nueva protección de pegado en Terminal

Apple no ha publicado un documento de soporte que explique cómo funciona el sistema de advertencias, lo que genera incertidumbre sobre qué criterios de detección utiliza o qué patrones de comandos activan las advertencias. Además, no está claro si la restricción se aplica a comandos pegados desde fuentes fuera de Safari o si las sesiones de Terminal iniciadas a través de automatización o scripts son controladas de la misma manera.

Dado que el método de detección no se ha explicado, los usuarios no deben confiar únicamente en la advertencia para protegerse contra ataques de ClickFix. Los comandos provenientes de sitios web no confiables, correos electrónicos o chats de soporte no deben ejecutarse, incluso si aparece una advertencia. BleepingComputer se ha puesto en contacto con Apple para obtener aclaraciones, pero la compañía no ha respondido públicamente a las preguntas sobre esta característica en este momento.