Estás navegando por Internet con tu iPhone o jugando a un juego y de repente, como tantas otras veces, te aparece una ventana emergente pidiéndote la contraseña de iTunes Store. Casi por instinto automático, insertas la contraseña y sigues a la tuyo. ¿Para qué te ha pedido la contraseña iOS esta vez? Quién sabe, alguna app que requiera el código para instalarse o algún inicio de sesión del sistema. Lo que nunca pensarías es que acabas de sufrir un ataque phishing.
La manía de Apple de pedir a sus usuarios iOS verificación por casi cualquier acción que requiera cierto nivel de seguridad no es algo que siempre juegue a su favor, puede llegar a ser contraproducente. Los usuarios de iOS se han acostumbrado tanto a la ventana emergente que requiere la contraseña, que ya la ponen sin siquiera pensar por qué lo hacen. Y esto, es increíblemente fácil de replicar por parte de un tercero.
Tal y como indica el desarrollador Felix Krause, para imitar el sistema de verificación de Apple tan sólo hacen falta 30 líneas de código. Es más, la propia Apple te las ofrece en su framework ya que UIAlertController es el método para mostrar las alertas en iOS mediante ventanas emergentes. El desarrollador tan sólo debe cambiar el mensaje que aparece en la ventana para que sea el mismo que pone Apple para pedir la contraseña. Como se puede ver en la imagen, no hay prácticamente diferencia alguna entre la ventana real y el phishing.
¿Quién es el culpable en todo esto y cuál es la solución?
Si escribes la contraseña en una de estas ventanas emergentes automáticamente el atacante recibirá tus datos. Obtener el correo no es nada difícil pues la app puede acceder a él sin tu permiso. A partir de aquí, dependerá de ti si tienes o no autenticación en dos factores u otros métodos de verificación. El problema es que la mayoría de usuarios tienen esa misma contraseña para más servicios que no tienen por qué ser de Apple.
Sea como sea, en este problema hay tres implicados: los desarrolladores, los usuarios y Apple. Y es responsabilidad de todos evitar este tipo de ataques:
- Los usuarios: Diferenciar este tipo de mensajes no es nada fácil, pero antes de poner una contraseña, deberíamos pensar por qué nos la puede estar pidiendo el sistema. Así mismo, si salimos de la app y la ventana ha desaparecido, es que no forma parte del sistema.
- Los desarrolladores: Tan simple como no jugar con fuego, del mismo modo que es sencillo insertar este tipo de ataques, también es sencillo que el sistema de revisión de Apple lo detecte.
- Apple: Seguramente el que mayor culpa tiene en todo esto es Apple, por ofrecer una misma interfaz y método tanto para las contraseñas como para cualquier otro mensaje que requiera la acción del usuario. Crear un pop-up diferente para los formularios de contraseña o simplemente pedir las contraseñas sólo en los ajustes del sistema, sería una buena solución.
¿Y los usuarios de Android?
En los dispositivos Android, al no disponer de una interfaz universal, es más difícil para los atacantes crear un ataque phishing por el estilo. Pero esto no significa que sea imposible, sobre todo en aplicaciones de terceros. Usando el sentido común y pensando dos veces antes de poner la contraseña debería valernos para evitar cualquier ataque. Por otra parte, siempre es conveniente tener un sistema de autenticación en dos pasos o en dos factores, para que cualquier inicio de sesión requiera una segunda validación.
Más información | Felix Krause
En Xataka | WhatsApp puede ser un buen chivato de nuestros hábitos gracias a una vulnerabilidad y a una extensión de Chrome
Ver 17 comentarios