El bombardeo MFA o push bombing es una nueva técnica de phishing que revela una sofisticada evolución en las tácticas de los cibercriminales: explota a la vez vulnerabilidades tecnológicas y la psicología humana. En esta amenaza los atacantes inundan el sistema con avisos, sobrecargando el dispositivo hasta que el usuario se agota y hace clic, o aprueba por error una solicitud maliciosa.

Cómo Funciona el Bombardeo MFA

1. El primer contacto

El usuario recibe una alerta del sistema en su iPhone sobre un problema con su contraseña. Si hace clic en ‘No permitir’, esta se repite una y otra vez. En algún momento, el usuario puede sentirse abrumado o equivocarse y acabar haciendo clic en ‘Ok’ o ‘Permitir’.

2. La llamada falsa

Luego, recibe una llamada telefónica de un “representante de Apple” que se ofrece a ayudarle a restablecer su contraseña, pero cuando piden confirmar la información del cliente, dan un nombre erróneo para que el usuario corrija la información. El número de teléfono de la llamada que se muestra puede ser falsificado para que aparezca como el número de soporte oficial de Apple, añadiendo una apariencia de legitimidad a la estafa. 

Durante esa llamada, el falso representante de Apple informa al usuario de que su cuenta está siendo atacada o corre peligro, alimentando su sensación de urgencia y miedo.

3. El Phishing en acción

A continuación, empezarán con el phishing. Los atacantes afirmarán que, para proteger la cuenta, necesitan “verificar” la identidad del usuario o el estado de la cuenta mediante una contraseña de un solo uso que Apple ha enviado supuestamente al dispositivo del usuario.

En ese caso el objetivo es que la víctima facilite la contraseña de un solo uso a la persona que llama, un dato fundamental que, en circunstancias normales, se utiliza para confirmar la identidad del titular de la cuenta durante un proceso legítimo de restablecimiento de contraseña o desbloqueo de la cuenta.

Riesgos del bombardeo MFA

Si, finalmente, el usuario cae en la trampa y facilita la información, los atacantes pueden entonces tomar el control de la cuenta y acceder a toda la información personal. Además, una vez que el hacker obtiene la contraseña de un solo uso, puede completar el proceso de restablecimiento de la contraseña. De esta forma el propietario legítimo queda bloqueado y no puede acceder. Mientras, los atacantes acceden al ID de Apple del usuario y a los servicios vinculados. 

Cómo proteger tus dispositivos

1. No hagas clic en solicitudes no solicitadas

Para defenderse de este tipo de ataques es fundamental hacer clic siempre en “No permitir” cuando se reciba un mensaje que no hayas solicitado. Si observas que siguen apareciendo otros una vez descartado, notifícalo.  

2. Desconfía de llamadas no solicitadas

Desconfía de las llamadas no solicitadas que te pidan información confidencial, aunque parezcan proceder de una fuente legítima. Verifica siempre la identidad de la persona con la que hablas y, si no estás seguro, cuelga y llama directamente al número de asistencia oficial que encontrarás en el sitio web de la empresa.

3. Implementa capas adicionales de seguridad

Utiliza pasos de verificación adicionales, como configurar una clave de recuperación, como sugiere Apple, para añadir más capas de seguridad a tu cuenta. 

A medida que los atacantes perfeccionan sus estrategias, la industria debe adaptar continuamente sus defensas. Para eliminar este tipo de amenazas, también es conveniente que las empresas tecnológicas revisen el diseño de sus sistemas, restringiendo el número de solicitudes de contraseña que se pueden hacer.