La ciberseguridad es una de las máximas de Apple, la empresa incluso ha aplicado barreras contra amenazas criptográficas futuras en su aplicación de mensajería iMessage. Sin embargo, cada día surgen nuevas técnicas de hackeo por lo que estar protegido por completo es prácticamente imposible. Así lo demuestra una nueva campaña de phishing ideada contra los usuarios de iPhones.
Un diluvio de notificaciones satura desde el iPhone hasta el Apple Watch y otros dispositivos de la marca que se tengan. Los atacantes persiguen bloquear la cuenta ID de Apple y lo consiguen gracias a datos que pueden ser públicos como el correo electrónico y el nombre así como el número de teléfono para estafar a la víctima por teléfono.
A principios de año, Apple creó un nuevo sistema de protección para evitar que los ladrones puedan controlar el teléfono robado y restaurarlo para después venderlo o acceder a datos importantes. Sin embargo, los hackers han dado con otra técnica con la que bloquear un smartphone y robar información, así lo han explicado varios afectados y la web KrebsOnSecurity.
El ataque
Los atacantes juegan con el hartazgo o la confusión del propietario ante una avalancha de notificaciones. El usuario de Twitter (ahora X) Parth Patel ha compartido en la red social su experiencia al recibir hasta 100 notificaciones idénticas. Los avisos llegan a la vez a todos los dispositivos de Apple vinculados, por lo que si la persona es propietaria de un iPhone, un Apple Watch y un Mac será bombardeado en todos estos equipos. Patel explica que no puedo utilizar ninguno de sus dispositivos hasta que hizo clic en "no permitir".
Otras personas, abrumadas por este ataque, pueden eliminar las notificaciones aceptando sin darse cuenta de lo que supone, con esto cuentan los hackers. En el momento en el que la persona se cansa y acepta la solicitud por error, el pirata informático puede cambiar la contraseña ID de Apple y bloquear la cuenta del usuario.
No obstante, no es tan sencillo como rechazar la solicitud, cuando la persona se resiste, el ataque se incrementa. Los hackers siguen mandando notificaciones o pasan a utilizar llamadas telefónicas que fingen ser procedentes de Apple. En la conversación, el atacante se hace pasar por el servicio técnico e informa a la víctima que está siendo atacada para obtener la contraseña de un solo uso que la persona ha recibido al número de teléfono como medida de seguridad.
Los piratas informáticos cuentan con información robada. En el caso de Patel, tenían su nombre, dirección actual, dirección anterior y número de teléfono. Este usuario sospechó al ver que algunos datos eran erróneos y que el mensaje de Apple con el código que le requerían incluía un aviso de la empresa recordando que la compañía no solicita ese número.
[Grave agujero de seguridad en los iPhone: así pueden espiarte con anuncios y notificaciones]
KrebsOnSecurity ha investigado el caso para descubrir que los atacantes estarían usando la web de Apple para obtener una contraseña de ID de Apple olvidada. Este proceso requiere el correo electrónico o el número de teléfono del ID de Apple del usuario y tiene un CAPTCHA. Cuando se ingresa una dirección de correo electrónico, la página muestra los últimos dos dígitos del número de teléfono asociado con la cuenta de Apple, y al ingresar los dígitos que faltan se envía una alerta del sistema.
¿Cómo protegerse?
Aún no se ha descubierto la técnica para forzar el sistema de aviso y conseguir saturar los terminales con cientos de notificaciones para abrumar a la víctima. Podría tratarse de una brecha de seguridad en el sistema de Apple. Con anterioridad ya se han corregido exploits que permitían enviar spam indefinidamente a los usuarios. Por lo que por el momento, las herramientas con las que cuenta el propietario de una cuenta ID de Apple son básicas.
Además de mantener sus sistemas actualizados para recibir rápido cualquier protección o parche relacionado. Como medidas de seguridad, las víctimas deben mantener la calma y asegurarse de rechazar todas y cada una de las notificaciones que reciben solicitando el cambio de contraseña de su ID de Apple.
También es conveniente conocer los datos personales que están públicos en la red, filtrados por otro robo de datos o publicados voluntariamente a través de redes sociales u otros servicios. Además, es importante recordar que Apple no realiza llamadas telefónicas solicitando códigos de restablecimiento de contraseña de un solo uso.