¿Usas el iPhone? Cuidado con esta alerta

Programador encuentra una posible vulnerabilidad para ataques de 'phising'

Los usuarios del iPhone conocerán bien esta situación: tras una actualización, o bien de manera aleatoria, el sistema les insta a volver a introducir las credenciales de iCloud, el  pasaporte  que da acceso a todos los servicios del terminal. Esta alerta suele surgir -de forma molesta y repetitiva en ocasiones- mediante una ventana emergente (también conocida como  pop-up ) que ocupa parte de la pantalla y que impide al usuario hacer otra cosa que introducir la citada contraseña o cancelar y seguir sin acceder.

El desarrollador Felix Krause ha encontrado, sin embargo, una forma de engañar al sistema de forma que dicho pop-up no sea lanzado por el sistema, sino por una aplicación cualquiera, y es aquí donde está el verdadero peligro. Los ladrones de la red ansían contar con nuestras credenciales para acceder a nuestra información más personal mediante el engaño para luego lucrarse con ella (el conocido como phising), y esto es, por descontado, un engaño.

 El desarrollador no ha detectado un ataque real empleando esta técnica, sino una posible vulnerabilidad que, en manos ajenas, puede robar fácilmente los datos del usuario. Lo malo de este agujero de seguridad es que ni siquiera la verificación en dos pasos (códigos temporales enviados por SMS o email) les mantiene a salvo de este eventual ataque, ya que como apunta el programador, este token puede ser reenviado directamente desde el equipo afectado a un servidor remoto.


Odoo image and text block

 ¿Qué hacer, entonces, ante una ventana emergente de estas características?


La buena noticia es que el "phising", o suplantación de identidad, es fácilmente detectable: la prueba del algodón consiste en algo tan sencillo como pulsar el botón home en el iPhone en cuanto aparezca dicho pop-up; si la ventana se mantiene en la pantalla, se tratará de una alerta genuina del sistema, pero si no lo hace, estaremos ante un ataque mediante phising. En cualquier caso, Krause aconseja que bajo ningún concepto, introduzcamos nuestras credenciales en una ventana emergente, sino que en su lugar, accedamos a los Ajustes del sistema y lo hagamos desde ahí.