Mira bien las dos capturas de pantalla de iOS que ves justo arriba. Ambas te piden la contraseña de tu Apple ID, ¿verdad? Pues una de ellas es una petición legítima de iOS mientras que la otra es un aviso replicado en forma de ataque phishing. ¿Puedes diferenciarlas?
Ese es el problema, que no puedes. La captura de la derecha es donde tenemos el aviso camuflado, creado con el componente UIAlertController del SDK de iOS. Cualquier desarrollador puede hacer esto, y el aviso resultante cuando se usa el mismo texto y los mismos botones que una petición legítima de iOS es idéntico. Pero afortunadamente, hay formas de poder delatar este tipo de ataques.
No es un ataque, pero es un aviso muy importante
Antes que nada, calma: no circula ningún tipo de ataque de este tipo que se haya sabido. Todo es un experimento del desarrollador Felix Krause, quien quiere demostrar que engañar a cualquier persona con uno de estos avisos disfrazados puede ser tremendamente fácil.
De hecho, sólo hace falta escribir la contraseña en el campo de la petición para que el desarrollador pueda leerla. No hace falta ni que pulses ningún botón. Incluso si pulsas el botón cancelar, tu contraseña puede ser enviada a alguien que no va a tener buenas intenciones.
Y es ese mismo experimento el que nos revela cómo podemos darnos cuenta de que un aparente aviso de iOS que nos pide la contraseña de nuestro Apple ID es en realidad falso. Basta con pulsar el botón Home del dispositivo: si la aplicación y su alerta desaparecen para dar paso a la pantalla principal, entonces estamos ante un ataque phishing. Si por lo contrario pulsas el botón Home y la petición de contraseña sigue presente, entonces dicha petición es verdadera y es iOS quien está solicitando la contraseña.
De todos modos insistimos en no caer en el alarmismo. Estas alertas pueden aparecer, pero también basta que tengamos claro lo que estamos haciendo en el dispositivo para sospechar. Es normal que se nos pida la contraseña al instalar aplicaciones, actualizaciones del sistema o al aplicar cambios importantes en nuestros ajustes.
Pero si se nos pide nuestra contraseña al abrir juegos, aplicaciones de ofertas o cualquier otra cosa, tengamos cuidado. Otra forma de verificar que es iOS el que realmente necesita la contraseña de nuestra ID de Apple es cancelando esa petición y acudiendo directamente a los ajustes del sistema para introducirla.
Lo que nos deja claro Krause es que, definitivamente, hay que dejar de creer en que todas las peticiones de contraseña de iOS son necesarias para el sistema. Tengamos cuidado de qué webs visitamos, qué correos nos creemos, qué aplicaciones instalamos y a qué servicios nos suscribimos. No dudo en que Apple ya estará pensando en un modo de evitar estas confusiones.
En Applesfera | Apple cree que la privacidad es un derecho fundamental y así lo muestra en su web
Ver 11 comentarios