Siempre se dice que los móviles de Apple tienen un alto estándar vinculado a la seguridad. Pese a ello, los ciberataques son cada vez más sofisticados en términos tecnológicos y más agotadores en el apartado humano. Un ejemplo de ello son los recientes ataques a dispositivos iPhone.
La empresa de ciberseguridad CheckPoint Software señala que ha detectado un nuevo tipo de ataque de phishing o suplantación de identidad, llamado MFA bombing. Los ciberdelincuentes envían al teléfono móvil notificaciones informando sobre un error en la función de restablecimiento de contraseña de Apple y, de esta forma, intentan obtener claves de la autenticación multifactor (MFA).
Como sugiere su nombre, la autenticación multifactor requiere múltiples factores de autenticación para obtener acceso a la cuenta de un usuario. Un factor de autenticación es un medio para demostrar la identidad de un usuario a un sistema. Y el MFA utiliza varios, basado en quién eres (una huella dactilar, por ejemplo), lo que tienes (un móvil específico) o lo que sabes (una pregunta o una clave).
El bombardeo rápido de MFA inunda a los usuarios con mensajes para acceder a un sistema o dispositivo, con el objetivo de que el usuario finalmente acepte uno. En este caso en particular, los propietarios de iPhone reciben decenas de mensajes informando sobre un error en la función de restablecimiento de contraseña de Apple. Las opciones que se le dan son de Permitir o No permitir el bloqueo del dispositivo. Entonces, los atacantes llaman a la víctima haciéndose pasar por el soporte de Apple con el objetivo de “verificar” un código de un solo uso y así acceder a las cuentas vinculadas.
Si el usuario da el número, le permite el acceso a su dispositivo a los ciberdelincuentes y con ello a sus cuentas y datos personales. Para evitar esto podemos bloquear el número desde el que recibimos los mensajes.
También es útil saber que Apple no enviará constantes mensajes vinculados a este tipo de incidencias. Podemos hablar con servicios técnicos de Apple para saber si esto es cierto. Otra medida es buscar el número del cual recibimos la llamada para saber si está registrado como Spam.
Lo que hay que tener en claro es que las empresas no piden datos personales por teléfono a la hora de alertar de un problema con un dispositivo.