Los hackers recurren cada vez más al “voice phishing” para atacar iPhones
Uno de los falsos mitos más extendidos de nuestra época es que los dispositivos de Apple son invulnerables. Es cierto que, como hay menos teléfonos de la manzanita que smartphones con sistema operativo Android, los ciberdelincuentes suelen fijarse más en los teléfonos con el sistema operativo de Google. Sin embargo, sigue habiendo millones y millones de estos teléfonos repartidos por el planeta y, por tanto, suponen una ‘suculenta porción del pastel’ para los ciberdelincuentes. El voice phishing, o suplantación de la identidad de una empresa o persona a través de llamadas por teléfono, es una realidad cada vez más común.
“El mito de la invulnerabilidad de los iPhone es una potentísima herramienta de comunicación para Apple, pero un arma de doble filo para sus usuarios. Generalmente, los dueños de un dispositivo con iOS o macOS son menos precavidos ante los ciberataques. Por ello, es importante recalcar que cualquier aparato con conexión a Internet, ya sea caro, barato, nuevo o antiguo, es susceptible de ser ciberatacado”, recuerda Hervé Lambert, Global consumer operations manager de Panda Security.
Sin ir más lejos, en Panda Security hemos detectado tres nuevas formas en las que los hackers pueden hacerse con el control de un iPhone por medio del ‘voice phishing’. En ellas, los ciberdelincuentes mezclan técnicas de ingeniería social y de phishing. Es decir, estudiando los patrones de conducta de sus víctimas y haciéndose pasar por otras personas o empresas, en este caso, por Apple.
Te roban el móvil y luego todos tus datos
El método más preocupante, aunque menos probable, consiste en que los delincuentes comienzan con un robo físico del dispositivo. Es decir, entran en un lugar público hasta que localizan al dueño de un iPhone para robárselo. Una vez tienen el teléfono, preparan el ciberataque aunque no tengan las claves de acceso.
Hasta aquí, no hay nada nuevo. Más allá de lo que cuesta comprar el aparato en sí, parece que la faena no es ‘para tanto’ si se cuenta con un seguro para el móvil y un buen backup de la información.
Sin embargo, lo primero que solemos hacer cuando perdemos el teléfono es acudir a la cuenta de iCloud para utilizar la aplicación “Find my iPhone”. Se trata de la opción más acertada y más inteligente. Pero hay que prestar mucha atención a los mensajes que Apple, de forma opcional, permite escribir al ladrón o a la persona que haya encontrado el teléfono.
En muchas ocasiones, los dueños de los teléfonos robados dejan un mensaje con el número de teléfono o dirección de email de un familiar o amigo para que, apelando a la honradez del ladrón o confiando en que alguien lo haya encontrado por algún sitio, contacten con él y le devuelvan su teléfono.
Sin embargo, no es buena idea dar datos personales en este tipo de mensajes, porque se abren las puertas a potenciales ciberataques en los que, en comparación, el robo del teléfono puede ser el menor de los problemas.
El timo empieza a tomar forma cuando los hackers reciben el mensaje vía “Find my iPhone” en el que el dueño les da un número alternativo con el que ponerse en contacto. En ese momento, los ciberdelincuentes envían un SMS a ese nuevo número en el que parece que el remitente del mensaje es la propia Apple. En este mensaje los delincuentes envían un enlace a una página que emula con mucha precisión a la página de entrada a iCloud, donde piden a la víctima su usuario y contraseña de acceso.
Al teclearlo, no ocurre aparentemente nada, pero le estamos dando a los ciberdelincuentes la llave para acceder a nuestro teléfono y usarlo a sus anchas. Si tenemos mala suerte, podrían acceder a nuestras aplicaciones bancarias, redes sociales y cuentas de email, con lo que las consecuencias son incalculables. Este es un caso perfecto para definir lo que es el Phishing.
La llamada aleatoria
Sin embargo, no es necesario que nos roben el teléfono para que caigamos en este timo.
Los estafadores han encontrado la forma de efectuar llamadas telefónicas a sus víctimas de tal modo que parece que les está llamando el servicio de atención al cliente de Apple. De hecho, al recibir la llamada, el teléfono muestra que la llamada la está realizando un usuario llamado “Apple”.
Cuando se recibe esta llamada, un ciberdelincuente se hace pasar por un trabajador de la compañía y le indica a la víctima que vaya a una página web específica para comprobar si la seguridad de su teléfono ha sido comprometida.
Por lo general, el atacante pide permiso a la víctima para enviarle un SMS con un enlace en el que puede cambiar sus claves de acceso al teléfono. En lugar de remitirle a appleid.apple.com, que es la única forma de cambiar las contraseñas con Apple, les lleva a una página web en las que piden el usuario y la contraseña de iCloud.
Una vez introducidos todos los datos estamos ‘regalando’ toda nuestra información a los delincuentes para hacer lo que quieran con nuestra información personal.
Recomendamos a los usuarios, sean usuarios de Apple o de Android o de cualquier tipo de dispositivos, que estén atentos a todas estas estafas y no está demás usar el sentido común y un buen software de seguridad.