Siempre se dice que los móviles de Apple tienen un
alto estándar vinculado a la seguridad. Pese a ello, los ciberataques son
cada vez más
sofisticados en términos tecnológicos y más agotadores
en el apartado humano. Un ejemplo de ello son los recientes ataques a
dispositivos iPhone.
La empresa de ciberseguridad CheckPoint Software señala que ha
detectado un nuevo tipo de ataque de phishing o suplantación de identidad,
llamado MFA bombing. Los ciberdelincuentes envían al teléfono móvil
notificaciones informando sobre un error en la función de restablecimiento de
contraseña de Apple y, de esta forma, intentan obtener claves de la autenticación
multifactor (MFA).
Como sugiere su nombre, la autenticación multifactor requiere
múltiples factores de autenticación para obtener acceso a la cuenta de un
usuario. Un factor de autenticación es un medio para demostrar la identidad de
un usuario a un sistema. Y el MFA utiliza varios, basado en quién eres (una
huella dactilar, por ejemplo), lo que tienes (un móvil específico) o lo que
sabes (una pregunta o una clave).
El bombardeo rápido de MFA inunda a los usuarios con mensajes para
acceder a un sistema o dispositivo, con el objetivo de que el usuario
finalmente acepte uno. En este caso en particular, los propietarios de iPhone
reciben decenas de mensajes informando sobre un error en la función de
restablecimiento de contraseña de Apple. Las opciones que se le dan son de
Permitir o No permitir el bloqueo del dispositivo. Entonces, los atacantes
llaman a la víctima haciéndose pasar por el soporte de Apple con el objetivo de
“verificar” un código de un solo uso y así acceder a las cuentas vinculadas.
Si el usuario da el número, le permite el acceso a su
dispositivo a los ciberdelincuentes y con ello a sus cuentas y datos
personales. Para evitar esto podemos bloquear el número desde el que recibimos
los mensajes.
También es útil saber que Apple no enviará constantes mensajes
vinculados a este tipo de incidencias. Podemos hablar con servicios técnicos de
Apple para saber si esto es cierto. Otra medida es buscar el número del cual
recibimos la llamada para saber si está registrado como Spam.
Lo que hay que tener en claro es que las empresas no piden
datos personales por teléfono a la hora de alertar de un problema con un
dispositivo.
