Una modalidad de ‘phishing’ permite desbaratar los sistemas de seguridad
3 de septiembre de 2018 – Agencias.
El robo de móviles se ha convertido en una auténtica lacra que cobra especial relevancia precisamente durante las vacaciones, cuando nos relajamos y es más fácil que descuidemos el dispositivo sobre una mesa o en el bolsillo del pantalón mientras viajamos en metro. Y si hay que mencionar un móvil especialmente cotizado por los amigos de lo ajeno es precisamente el iPhone, un dispositivo con un elevadísimo precio de reventa y que, en el peor de los casos, también puede rentabilizarse su hurto con la venta de piezas. Apple lo sabe y parece haber dado con una fórmula infalible que ya ha logrado descender hasta en un 50% el robo de sus móviles: un sistema mediante el cual la víctima puede hacer que el iPhone se vuelva inservible.
Nos referimos al Find my iPhone (buscar mi iPhone); un sistema a través del cual el usuario puede ubicar en el mapa todos los equipos suscritos a una misma cuenta de iCloud, pero que en el caso del iPhone además, puede inutilizarlo de por vida. Sí, el iPhone puede acabar de pisapapeles si la víctima del robo así lo decide y su destino podría ser únicamente el lucro mediante la venta de piezas. El sistema parece totalmente ganador y las cifras así lo avalan, pero los amigos de lo ajeno siempre van un paso por delante y han dado con una técnica muy sibilina con la que pueden trampear el antirrobo.
El método ha sido descubierto por la firma de seguridad online Kaspersky y no precisamente porque haya sido detectado a través de alguno de sus análisis sistemáticos, sino porque la víctima del robo ha sido una de sus empleadas. Nuestra protagonista se dirigía a ver el Rusia-España durante el pasado Mundial cuando echó en falta su flamante iPhone X; presa del pánico comenzó a hacer lo que cualquiera en su lugar: llamarse a sí misma desde el móvil de un amigo, pero el tono sonaba y alguien colgaba. Parecía que había que asumir el robo como única opción, pero no estaba todo perdido: “Me sentí feliz al saber que tenía Find my iPhone y activé el modo pérdida”.
Cuando el propietario de un iPhone activa de forma remota dicho modo, suceden dos cosas: el iPhone en destino deja desde ese momento de ser utilizable (incluso aunque se reestablezcan los parámetros de fábrica) y la pantalla del móvil temporal que se utilice para rescatar el sustraído muestra un mensaje acompañado de un número de recuperación. En este caso, el móvil indicado era el de su pareja. Todo parecía marchar como debiera hasta que el móvil habilitado para el rescate recibió un SMS con un texto firmado por Apple en el que se podía leer “para mostrar la ubicación del iPhone robado en el mapa debe acceder a su cuenta de iCloud siguiendo este enlace”.
Sin embargo, en este mensaje de texto se encontraba el engaño que, una persona en un momento de calma y tranquilidad podría detectar rápidamente: la URL no era genuina de Apple sino que pertenecía a otro dominio, el claro marchamo de los hackers. Con las prisas, la víctima no dudó en ingresar las credenciales en el mencionado link y cuando pulsó enter, sin saberlo, se despidió para siempre de su iPhone. Al cabo de unos instantes accedió a Find my iPhone desde otro terminal y no había rastro del iPhone robado ¿Qué había fallado?
Tras haber recuperado la calma, lo descubrió: introdujo sus datos de iCloud en un enlace falso y el hacker accedió desde otro ordenador a su cuenta y ‘liberó’ el iPhone para siempre, que podría ser vendido como nuevo de segunda mano. ¿Ha fallado algo en el sistema de seguridad de Apple? Realmente no; como apuntó nuestra protagonista, una vez más fue la parte humana la que cojeó: no tenía activada la verificación en dos pasos que hubiera dado al traste con el robo. Y por descontado, un claro mea culpa por haber hecho clic en links recibidos por SMS, pero como ella misma reconoce, “nadie es inmune, soy experta en este tipo de fraude y me lo tragué”.