Cualquier desarrollador puede engañar a los usuarios de iOS pidiéndoles su contraseña de Apple ID de una manera tremendamente sencilla. Así puedes detectarlo.

Pese a que Apple destaca sus esfuerzos en materia de seguridad y protección del usuario, en sus sistemas operativos hay comportamientos que pueden hacer que cualquier desarrollador con mínimos conocimientos pueda solicitar y descubrir las credenciales de Apple ID del usuario. ¿Cómo? Pidiéndolas directamente.

El desarrollador Felix Krause ha publicado un completo artículo en el que repasa cómo cualquiera puede hacerse pasar por el sistema iOS para engañar al usuario haciéndole creer que se necesita introducir la contraseña maestra de Apple ID.

Engañando a los usuarios para conseguir su cuenta de Apple ID

Por norma general, es habitual que iOS nos pida la contraseña de Apple ID durante acciones como compras en la Apps Store, al querer instalar actualizaciones del sistema, en iTunes y también, en ocasiones, de manera aleatoria.

El problema llega cuando ese popup del sistema puede ser imitado por cualquiera. Felix confirma que no se necesita nada complejo, básicamente se trata de un ejemplo de mensaje emergente como los que vienen en las guías de diseño de Apple con un simple texto personalizado. Se necesitan, literalmente “menos de 30 líneas de código para que cualquier desarrollador de iOS pueda crearlo“.

Esto significa que los ataques de phishing (suplantación de identidad) son muy fáciles, consiguiendo que cualquier app pueda engañar al usuario solicitando su Apple ID al imitar el mismo popup al que ya estamos acostumbrados.

¿Cómo detectar si el mensaje es real o quieren engañarnos?

Si los mensajes son tan similares, con una estética prácticamente calcada ¿qué podemos hacer para detectar si es un ataque de phishing?

Sencillo: si te aparece ese mensaje, pulsa el botón de inicio del iPhone/iPad:

• Si la aplicación se cierra y el pop-up también desaparece, es un intento de phishing.
• Si el popup se mantiene visible junto con la app, por muchas veces que pulses el botón de inicio, se trata de un mensaje del sistema, y por tanto es una comprobación de seguridad real.

Además de esto, Krause recuerda que, al igual que no se recomienda pulsar en enlaces de emails que no conoces, tampoco deberías introducir nunca tus credenciales en un mensaje emergente. En su lugar, ciérralo y hazlo desde los Ajustes de la aplicación.

Por supuesto, quien tiene que poner solución a todo esto es Apple, principalmente deberían crear una interfaz realmente diferenciadora para los mensajes y comprobaciones de seguridad que vienen del sistema.