Notificación en iPhone de contraseña comprometida: ¿es una estafa?

Varios clientes de Apple informaron sobre un ataque phishing que tiene que ver con la función de restablecimiento del dispositivo. Esta notificación en iPhone de contraseña comprometida: ¿es una estafa?

Est un ataque en toda regla, denominado MFA bombing y es utilizado por los delincuentes para hacer que tu teléfono iPhone reciba notificaciones informándote sobre un error en la función de restablecimiento de la contraseña de Apple. Esto lo consiguen por una supuesta vulnerabilidad en la autentificación multifactor (MFA) que tiene el sistema.

De esta manera consiguen bloquear el terminal Apple hasta que el destinatario responda en Permitir o No permitir a cada uno de los mensajes que han llegado.

A partir de ahí, el modo de actuar de los delincuentes es el de llamar a la víctima haciéndose pasar por el soporte de Apple, ofreciéndole la posibilidad de verificar todo el problema con un código de un solo uso y así acceder a las cuentas que tenga vinculadas.

Parth Patel es un emprendedor que el día 23 de marzo documentó todo lo ocurrido en su X (Twitter) sobre el ataque de MFA bombing que sufrió en todos los dispositivos que estaban vinculados con la misma ID de Apple, por lo que no solo fue en el iPhone.

Cuenta que llego a recibir más de 100 notificaciones para que restableciera su cuenta de Apple, teniendo que rechazarlas todas, puesto que si no el dispositivo no podía seguir funcionando.

Notificación en iPhone de contraseña comprometida: ¿es una estafa?
X de Parth Patel

Si existen personas que hartas de tantas notificaciones pulsan en Permitir, entonces estarán al servicio de los delincuentes, ya que pasarán a conocer su contraseña del ID de Apple.

Según sigue contando, Patel, después de rechazar multitud de solicitudes, recibió una llamada de un número 1-800-275-2273 (parece la línea de atención al cliente real de Apple), le indican que le pueden ayudar con el error. Evidentemente, pregunta para que le den información acerca de él mismo para asegurarse que es verdaderamente Apple quien le llama, algo a lo que responden con total seguridad y acertando.

Según parece, en lo único que no acertaron fue en su nombre completo, lo cual le hizo sospechar y que la persona con la que hablaba insistía en activar el envío de un código de restablecimiento de la ID Apple para que se lo diera. Con este código, los delincuentes podrían tomar el control absoluto de su cuenta. Afortunadamente, no se lo dio, dándose cuenta de la estafa.

Hay que tener cuidado con estos ataques

Lo que queda claro es que hay que tener mucho cuidado con todas solicitudes que recibas y más si implican restablecimientos de contraseñas, el hecho de dar algún dato de tu cuenta o de permitir el acceso a ella.

Nunca proporciones datos a nadie que no sepas al cien por cien quién es realmente o si pertenece a Apple, no respondas SMS que pidan contraseñas ni datos de ningún tipo y tampoco aceptes solicitudes que tú no hayas gestionado, por muchas que salgan.

Incluso, si tienes dudas, llama tú mismo a Apple para preguntar por lo que está pasando, para cerciorarte de que esta vez sí que hablas con un especialista de empresa.

Lo mejor es siempre mantener el sistema operativo actualizado y los parches de seguridad, ya que Apple es una empresa que casi siempre responde a todo este tipo de ataques de manera veloz, por lo que tener la última versión es sinónimo de seguridad.

Mantén siempre las apps actualizadas y descarga de la Apple Store para estar más seguro de lo que estás guardando en el móvil.

Al final es tener sentido común y pensar siempre las cosas antes de hacerlas, siendo desconfiado de cualquier tipo de notificación o llamada fuera de lo normal. Desgraciadamente, este tipo de incidencias se seguirán dando, pero lo importante es que afecte al menor número de personas y que los delincuentes no tengan forma de seguir engañando.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.