Usuarios de dispositivos Apple están reportando en redes sociales un nuevo ataque de phishing que recibe el nombre de MFA bombing o MFA fatigue en referencia a la autenticación multifactor (MFA, por sus siglas en inglés). Este ataque aprovecha la función de reseteo de contraseña del ID de Apple para mandar una avalancha de notificaciones e impedirnos utilizar nuestro dispositivo móvil. En Maldita.es te hemos contado otros casos de phishing en los que los timadores se hacen pasar por Apple a través de correo electrónico o mensajes de texto para hacerse con tu cuenta. Te contamos en qué consiste este ataque y cómo consiguen los timadores hacerse pasar por Apple.
¿Qué es la autenticación multifactor (MFA)?
La autenticación multifactor es un mecanismo de seguridad para evitar que usuarios no autorizados accedan a nuestras cuentas. De esta forma, para entrar a su cuenta el usuario tendrá que aportar, al menos, dos pruebas diferentes de que es quien dice ser. Un ejemplo de MFA es tener que introducir una contraseña y un código enviado al teléfono móvil o al correo electrónico para loguearse en una cuenta.
Apple explica en su página web cómo funciona su aplicación de doble factor. En el caso de Apple, cuando se inicia sesión en un nuevo dispositivo, no será suficiente con introducir nuestra contraseña, sino que necesitaremos un código de verificación que se mostrará en nuestros dispositivos de confianza. Apple entiende como un dispositivo de confianza aquel en el que ya estamos autenticados.
Un nuevo modus operandi: bloquean tu telefóno a base de notificaciones de reseteo de contraseña
Algunos usuarios han compartido en redes sociales como X (antes Twitter) o TikTok este nuevo tipo de ataque. Los timadores siguen un nuevo modus operandi aprovechando la función de restablecimiento de contraseña de Apple. El ataque de phishing comienza con una avalancha de notificaciones de reseteo de contraseña en nuestro dispositivo. Las notificaciones serán tan frecuentes, que no nos permitirán hacer nada más, impidiéndonos utilizarlo.
A los pocos minutos recibiremos una llamada de un supuesto trabajador de Apple, haciendo uso de spoofing telefónico para suplantar el número de teléfono del soporte de la marca. Durante la conversación, los timadores aportarán nuestros datos personales para darle mayor credibilidad al timo. El objetivo de esta llamada es convencernos de que estamos sufriendo un ataque que tienen que desactivar desde el soporte de Apple.
Para ello, supuestamente tenemos que facilitarles el código que manda Apple a nuestro teléfono. Sin embargo, si compartimos este código con los timadores, les estaremos dando acceso a nuestra cuenta de Apple. De esta forma, podrán cambiar la contraseña de nuestra cuenta, dejándonos sin acceso y pudiendo acceder a la información sensible que tuviéramos almacenada en ella, como datos personales o bancarios.
Aprovechan el proceso de restablecimiento de contraseña del Apple ID
Para entender cómo realizan los timadores este ataque, es necesario comprender cómo funciona el sistema de restablecimiento de contraseña de la cuenta de Apple. Para cambiar la contraseña desde un dispositivo que no sea el nuestro, Apple facilita una página de restablecimiento de contraseña, en la que será necesario introducir el correo electrónico asociado al Apple ID y nuestro número de teléfono.
Una vez hecho esto, la página de Apple indica que se debe restablecer la contraseña en los dispositivos en los que se haya iniciado sesión en iCloud, para “garantizar que eres tú quien hace la solicitud”. Esta notificación nos impedirá usar nuestros dispositivos hasta que hayamos pulsado “No permitir” o “Permitir”.
Los timadores aprovechan este sistema de restablecimiento de contraseña para bloquear nuestro teléfono móvil con una avalancha de notificaciones, pero no se trata de un error del sistema. “Aprovechan la función para timarnos”, cuenta Victor Rabadan, arquitecto en confiabilidad del sitio (SRE) y maldito que nos ha prestado sus superpoderes. “Lamentablemente este es un caso de un sistema comportándose como estaba diseñado, pero siendo usado maliciosamente para generar una sensación de urgencia y peligro que nos lleve a cometer errores”.
¿Cómo pueden los timadores tener mis datos personales?
Como ya os hemos contado en Maldita.es, los ciberdelincuentes pueden usar diferentes técnicas para conseguir los datos personales de la víctima. “Las brechas de seguridad están a la orden del día”, cuenta Rabadan a Maldita.es. “Una de las cosas más buscadas por agentes maliciosos, más que ‘secretos empresariales’ son datos de los usuarios. Esos datos de usuarios filtrados suponen correos, números de teléfono, información personal, potencialmente identificativa en ocasiones”. Estos datos filtrados se venden en la Deep Web, “donde las operaciones de timo los compran y usan para lanzar operaciones de timo a gran escala”, explica el ingeniero. Por este motivo, Rabadan aconseja “tener contraseñas diferentes para cada servicio, y siempre tener MFA allí donde lo ofrecen”.
Consejos para evitar este tipo de ataques
Apple da algunos consejos para reconocer este tipo de estafas, incluyendo falsas llamadas de soporte técnico, entre los que indica que “nunca compartas la contraseña de tu Apple ID o tus códigos de verificación con nadie. Apple nunca solicita esta información para brindar soporte técnico”.
Si sufrimos este ataque, Rabadan recomienda en primer lugar “mantener la calma”, ya que esta avalancha de notificaciones implica que el sistema de restablecimiento de contraseña está funcionando y los timadores no pueden hacerlo desde sus dispositivos. “No han conseguido acceso a nuestra cuenta y por eso golpean continuamente la puerta”, explica a Maldita.es el ingeniero.
También aconseja denunciar el ataque, de forma que quede registrado en caso de que los timadores utilicen nuestra cuenta con fines maliciosos. Además, “con la denuncia en la mano, también podéis notificar al soporte de Apple del incidente de seguridad”, añade Rabadan.
En la página de Apple indican que se puede configurar una clave de recuperación como una función de seguridad opcional que permite tener un mayor control sobre el restablecimiento de la contraseña. Eso sí, es importante saber que si se pierde la clave de recuperación, se bloqueará nuestra cuenta de forma permanente.
Si piensas que has sido víctima de este timo puedes contarnos tu historia escribiéndonos a [email protected].
En este artículo ha colaborado con sus superpoderes el maldito Victor Rabadan, ingeniero senior de ingeniería de confiabilidad del sitio (SRE).
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
