¿Los archivos de aplicación .dmg maliciosos descargados automáticamente son un riesgo de seguridad si nunca se abren?

Si descargo un archivo malicioso .dmg, pero no hago clic en él para instalarlo, ¿estoy seguro?

Estás seguro. El archivo .dmg (imagen de disco) no es en realidad el instalador. El .dmg debe ser doble clickeado para instalarlo antes de que pueda ejecutar algún código. Incluso si haces doble clic en él (siempre y cuando mantengas la característica de seguridad Gatekeeper activada), debes aprobar tanto la alerta de descargado de la web como el aviso de autenticación para permitir realmente que la instalación proceda.

¿Existe la posibilidad de que al simplemente visitar un sitio web que autoinstale un archivo .dmg, haya comprometido mi seguridad?

No, tu seguridad no está comprometida a menos que instales manualmente el archivo. La razón de esto es que un sitio web solo puede ofrecer un archivo .dmg para descargar. No existe una "autoinstalación" para un archivo de aplicación .dmg. Puedes hacer clic en un enlace (o un botón) para iniciar la descarga, pero las imágenes de disco en sí mismas no se "instalan" durante el proceso de descarga, lo que significa que no pueden ejecutar ningún código en tu Mac hasta que escribas tu contraseña para instalarlas (nuevamente, gracias a la característica de seguridad integrada de macOS, Gatekeeper). La imagen de disco se guarda simplemente en tu carpeta designada (normalmente Descargas) y espera a que tomes más medidas al hacer doble clic en ella para montarla. Para que se ejecute algún código de esa aplicación, debes autenticarte con tu contraseña.

Consejo adicional: Cuando un sitio web te dice que tu reproductor de flash está desactualizado a través de una ventana emergente como la que has mostrado, ¡debería ser una señal de alerta automática! Las alertas de Flash Player desactualizado casi nunca son legítimas. En lugar de hacer clic en ese botón OK en la notificación como lo hiciste, deberías forzar el cierre de tu navegador: elige Forzar cierre desde el menú de Apple en la barra de menú () - o simplemente presiona Command+Option+Esc - luego selecciona Chrome/Safari y presiona Forzar cierre. Mantén presionado Shift mientras abres Safari para evitar que el sitio web se recargue.

Siempre estás seguro cuando no abres el archivo DMG, ya que la aplicación está en un contenedor y no puede ejecutarse a sí misma.

Consejos de seguridad sobre descargas:

1. Siempre recibirás una pregunta emergente de OS X si deseas abrir este archivo.
2. OS X está asegurado de forma estándar para solo abrir aplicaciones que se descargan de la App Store. Incluso si deseas instalar una aplicación que no es de la App Store, aún necesitas desactivar la seguridad (a través de Configuración > Seguridad y Privacidad > presiona el candado en la esquina inferior izquierda, ingresa tu código de acceso y selecciona 'Cualquier sitio').

Voy a hacer que sea más fácil para que entiendas.

1. ¿Estoy seguro si se descargó un archivo sospechoso pero nunca se abrió ni se instaló en mi Mac?

Sí, estás seguro.

2. ¿Estoy seguro si me redirigieron a un sitio web desconocido cuando hice clic en una notificación mostrada en otro sitio web?

No, en realidad no. Hay un 99% de posibilidades de que te infectes con exploits de día cero utilizados por hackers para convertir tu computadora en su bot. Para protegerte de estos intentos de hackeo y ataques, siempre usa bloqueadores de ventanas emergentes y anuncios, y evita visitar sitios que redirigen o abren pop-ups.

Probablemente estás seguro

Mientras no abras o instales nada, es bastante difícil que tengas un virus.

Si no has desactivado el Gatekeeper (un proceso interno del sistema que se asegura de que el software de desarrolladores no identificados no se abra a menos que ingreses una contraseña de administrador para confirmar que son seguros), estás 99.99% seguro.

Para futura referencia: Un archivo .dmg es un archivo de imagen de disco. Incluso cuando abres un .dmg, solo montará el disco. Esto significa que se abrirá una pequeña carpeta en tu escritorio, algo así como cuando pones un CD en tu Mac. No puedes editar la carpeta, solo puedes expulsarla. Para expulsar el disco montado, solo haz clic en el botón de expulsión, o arrástralo al bote de basura.

Aquí hay una cita de Wikipedia sobre imágenes de disco

Una imagen de disco de Apple permite la protección segura con contraseña, así como la compresión de archivos, y por lo tanto cumple funciones de seguridad y distribución de archivos; dicha imagen de disco se utiliza más comúnmente para distribuir software a través de Internet.

SIN EMBARGO:

Si tu navegador sigue abriendo estos anuncios maliciosos, es posible que ya tengas adware en tu computadora (verifica a través de tus extensiones de Chrome). Cualquier extensión que instale un nuevo motor de búsqueda probablemente sea adware.

Consejo profesional: Instala Adblock. Es casi imposible contraer un virus con Adblock a menos que estés buscando activamente sitios web maliciosos. Adblock evitará que se abran estos molestos pop-ups y eliminará los anuncios de YouTube y básicamente de todos los demás sitios en internet. https://chrome.google.com/webstore/detail/adblock/gighmmpiobklfepjocnamgkkbiglidom?hl=en-US

Todas las respuestas aquí son excelentes, pero en mi humilde opinión, todo lo que necesitas es ejecutar algún software confiable anti-malware como Malwarebytes.