Recientemente, usuarios de dispositivos Apple han sido blanco de una sofisticada táctica de phishing que aprovecha tanto la tecnología como la psicología humana. Investigadores de Norton, empresa de ciberseguridad para el consumidor perteneciente a Gen, adviertieron acerca de una nueva modalidad conocida como “bombardeo MFA” o “push bombing”.

Esta nueva técnica de phishing está diseñada para inducir a las víctimas a compartir información personal sensible, poniendo en riesgo sus cuentas y datos.

¿Cómo funciona el bombardeo MFA?

El bombardeo MFA es una táctica de phishing que abruma a los usuarios con múltiples solicitudes de contraseña, llevándolos a un estado de “fatiga de notificaciones”. Una vez los usuarios se ven desestabilizados, los ciberdelincuentes realizan llamadas telefónicas haciéndose pasar por representantes de Apple, instando a los usuarios a compartir información confidencial.

Bajo el pretexto de proteger la cuenta del usuario, el “representante de Apple” informará que su cuenta está bajo ataque o en riesgo, alimentando la sensación de urgencia y miedo del usuario. Luego, recurrirán al discurso de phishing. Los delincuentes afirman que, para proteger la cuenta, necesitan “verificar” la identidad del usuario o el estado de la cuenta utilizando una contraseña de un solo uso que Apple supuestamente envió al dispositivo del usuario.

Esta contraseña es una información crítica que, en circunstancias normales, se utiliza para confirmar la identidad del titular de la cuenta durante un proceso legítimo de restablecimiento de contraseña o desbloqueo de cuenta.

Una vez que el ciberdelincuente obtiene la contraseña de un solo uso, puede completar el proceso de restablecimiento de contraseña. Esto bloquearía efectivamente al usuario legítimo mientras los ciberdelincuentes acceden al ID de Apple del usuario y a los servicios vinculados.

Para ayudar a los usuarios de dispositivos Apple a protegerse contra este tipo de ataques, Iskander Sánchez-Rola, Director de Innovación en Privacidad de Norton, compartí un listado de medidas de protección que pueden evitar caer en este nuevo tipo de estafa:

• Rechazar las solicitudes de contraseña no solicitadas y reportarlas.

• Mantener escepticismo ante llamadas no solicitadas que pidan información confidencial.

• Verificar la identidad de cualquier persona que solicite información personal.

• Implementar medidas de seguridad adicionales, como claves de recuperación sugeridas por Apple.

Además, es fundamental que los usuarios instalen un antivirus confiable en sus dispositivos, aseveró Sánchez-Rola.