Un programador encuentra una posible vulnerabilidad para ataques de ‘phising’
13 de octubre de 2017 – Agencias.
Los usuarios del iPhone conocerán bien esta situación: tras una actualización, o bien de manera aleatoria, el sistema les insta a volver a introducir las credenciales de iCloud, el pasaporte que da acceso a todos los servicios del terminal. Esta alerta suele surgir -de forma molesta y repetitiva en ocasiones- mediante una ventana emergente (también conocida como pop-up) que ocupa parte de la pantalla y que impide al usuario hacer otra cosa que introducir la citada contraseña.
El desarrollador Felix Krause ha encontrado, sin embargo, una forma de engañar al sistema de forma que dicho pop-up no sea lanzado por el sistema, sino por una aplicación cualquiera, y es aquí donde está el verdadero peligro. Los ladrones de la red ansían contar con nuestras credenciales para acceder a nuestra información más personal mediante el engaño para luego lucrarse con ella (el conocido como phising), y esto es, por descontado, un engaño.
El programador ha replicado sin grandes complicaciones la ventana de alerta y en una entrada en su blog, ha instado a sus lectores a encontrar las diferencias entre una alerta real y la simulada; misión imposible, les advertimos. Krause ha advertido que le ha resultado “llamativamente simple” replicar este pop-up y se ha negado, por cuestiones de carácter ético, a revelar el código fuente que lo genera.
Vaya por delante que el desarrollador no ha detectado un ataque real empleando esta técnica, sino una posible vulnerabilidad que, en manos ajenas, puede robar fácilmente los datos del usuario. Lo malo de este agujero de seguridad es que ni siquiera la verificación en dos pasos (códigos temporales enviados por SMS o email) les mantiene a salvo de este eventual ataque, ya que como apunta el programador, este token puede ser reenviado directamente desde el equipo afectado a un servidor remoto.
¿Qué hacer, entonces, ante una ventana emergente de estas características? La buena noticia es que el phising es fácilmente detectable: la prueba del algodón consiste en algo tan sencillo como pulsar el botón home en el iPhone en cuanto aparezca dicho pop-up; si la ventana se mantiene en la pantalla, se tratará de una alerta genuina del sistema, pero si no lo hace, estaremos ante un ataque mediante phising. En cualquier caso, Krause aconseja que bajo ningún concepto, introduzcamos nuestras credenciales en una ventana emergente, sino que en su lugar, accedamos a los Ajustes del sistema y lo hagamos desde ahí, ó a cancelar y seguir sin acceder.