Apple publicó nuevas directrices de seguridad en respuesta a un ciberataque dirigido a más de 1.500 millones de iPhones en todo el mundo. El gigante tecnológico hizo hincapié en la creciente sofisticación de los ciberdelincuentes, que utilizan tácticas de ingeniería social para engañar a los usuarios y extraer información sensible.
Los piratas informáticos, disfrazados de representantes legítimos de una empresa, están robando credenciales de inicio de sesión, códigos de seguridad e información financiera.
Modus operandi
Emplean una serie de métodos engañosos, como correos electrónicos de phishing, falsas ofertas promocionales, anuncios emergentes fraudulentos, invitaciones de calendario no deseadas y llamadas falsas. Estas tácticas pretenden engañar a los usuarios haciéndoles creer que es necesario actuar de inmediato para evitar graves consecuencias.
Apple recomienda a los usuarios que activen la autenticación de 2 factores si aún no lo hacen. Esta función de seguridad requiere una contraseña y un código de verificación de 6 dígitos para acceder a las cuentas desde cualquier dispositivo externo.
Sin embargo, los estafadores suelen persuadir a los usuarios para que desactiven estas funciones de seguridad, alegando falsamente que es necesario para resolver problemas de la cuenta.
Los estafadores suelen realizar llamadas falsas que imitan números de teléfono legítimos. Crean una falsa relación mencionando detalles personales como la dirección del domicilio del usuario, su empleador o su número de la seguridad social.
Luego inventan un problema falso, como cargos no autorizados utilizando Apple Pay, instando al usuario a actuar con rapidez sin verificar la información.
Según Apple, estas llamadas fraudulentas crean una falsa sensación de urgencia, disuadiendo a los usuarios de ponerse en contacto directamente con Apple.
Los estafadores pueden decir: "Puede volver a llamar a Apple, pero las actividades fraudulentas continuarán y usted será responsable". Estas afirmaciones pretenden evitar que los usuarios verifiquen la llamada colgando y poniéndose ellos mismos en contacto con Apple.
¿Cómo identificar la estafa?
La página de soporte de Apple ofrece varios consejos para identificar las comunicaciones fraudulentas. Los usuarios deben escudriñar el correo electrónico o el número de teléfono del remitente para asegurarse de que coincide con el nombre oficial de la empresa.
También deben tener cuidado si el enlace URL de un mensaje no coincide con el sitio web de Apple o si el contenido del mensaje difiere de las comunicaciones típicas de la empresa.
Es importante que los usuarios nunca faciliten información personal como contraseñas de cuentas o números de tarjetas de crédito si se les pide.
Si los usuarios reciben una llamada sospechosa, Apple les aconseja que la finalicen inmediatamente y se pongan en contacto directo con Apple para verificar la notificación.
También pueden denunciar las llamadas fraudulentas a la Comisión Federal de Comercio de EEUU o a las fuerzas de seguridad locales.
Campaña de phishing por SMS a Apple
La urgencia de Apple se produce tras el descubrimiento de una importante campaña de phishing por SMS en la que los atacantes enviaban a los usuarios de iPhone mensajes falsos que les dirigían a un enlace que se hacía pasar por una "solicitud importante" de iCloud.
La empresa de seguridad Symantec descubrió este ataque y señaló que los enlaces redirigían a los usuarios a sitios web falsos que imitaban las páginas de inicio de sesión de Apple e incorporaban un CAPTCHA para parecer legítimos.
Symantec destacó que los ID de Apple son objetivos prioritarios porque ofrecen acceso a información personal y financiera vital. Estas credenciales son muy valoradas por los ciberdelincuentes, ya que proporcionan control sobre los dispositivos y facilitan las compras no autorizadas.
Apple reitera que sus representantes de soporte nunca dirigirán a los usuarios a un enlace de un sitio web para iniciar sesión, ni solicitarán la contraseña de un dispositivo o un código de autenticación de 2 factores. Si alguien que dice ser de Apple solicita esta información, los usuarios deben colgar inmediatamente.
