Nadie conoce a nadie, pero todo el mundo tiene tu número de teléfono móvil. Números con el prefijo de India que te escriben WhatsApps en un castellano discutible y extraños que te bombardean con llamadas no deseadas. El phishing está a la orden del día y cada vez son más los ciberdelincuentes que intentan robar tus datos personales.
“¿Tienes un iPhone? ¡Cuidado! Se ha detectado un nuevo tipo de ataque de phishing llamado MFA bombing”, alertan desde la empresa especializada en ciberseguridad Check Point. Hablamos con su director general en España y Portugal, Mario García, para saber en qué consiste este nuevo ataque que bloquea los móviles de Apple y cómo evitarlo.
El ataque de phishing que bloquea los iPhone de Apple
El MFA bombing, también conocido como bombardeo MFA, es un tipo de ataque en el que los ciberdelincuentes envían numerosas notificaciones a tu teléfono móvil informando sobre un error en la función de restablecimiento de tu contraseña de Apple, o lo que es lo mismo, solicitudes de autenticación multifactor (MFA). La MFA es un mecanismo de seguridad (una contraseña y un código) para evitar que usuarios no autorizados accedan a nuestras cuentas.
¿Por qué te piden que restablezcas tu contraseña? “Buscan obtener acceso no autorizado a tus cuentas, a través de una gran cantidad de notificaciones push o llamadas telefónicas solicitando credenciales de autenticación”, apunta García. De este modo, con las notificaciones masivas, pueden llegar a bloquear los dispositivos Apple.
Cómo evitar un ataque de 'MFA Bombing'
Acto seguido, los atacantes llaman a la víctima haciéndose pasar por el soporte de Apple con el objetivo de “verificar” un código de un solo uso y acceder así a las cuentas vinculadas.
En primer lugar, “es fundamental permanecer alerta ante un repentino aumento en las solicitudes y verificar su autenticidad antes de proporcionar información confidencial”, aconseja García.
Cómo identificar una estafa de phishing
¿En qué hay que fijarse? “El phishing está estrechamente relacionado con el robo de identidad, ya que los ciberdelincuentes buscan obtener información personal y confidencial de las víctimas (incluye credenciales de acceso a cuentas y otra información personal sensible)”, matiza el experto.
Al obtener esta información, los atacantes pueden suplantar la identidad de las víctimas, lo que les permite llevar a cabo ataques más efectivos utilizando los nombres y direcciones de correo. Para identificar posibles intentos de phishing, “es importante extremar la precaución con correos electrónicos o mensajes inesperados que soliciten datos personales o financieros. No pinchar en cualquier tipo de enlace sospechoso y no descargar ningún archivo adjunto de remitente desconocido”, recalca García.
Otros consejos de ciberseguridad
Aunque la inteligencia artificial (IA) permite que los textos sean más correctos gramaticalmente hablando, siempre es aconsejable estar alerta ante errores gramaticales u ortográficos.
En cualquier caso y ante el mínimo atisbo de duda, siempre resulta esencial “verificar la autenticidad de los remitentes y los enlaces antes de proporcionar información sensible”.
Cómo verificar que un número de teléfono es auténtico
Asimismo, ante cualquier tipo de llamada inesperada en la que se soliciten datos personales como emails, claves o números de teléfono, debemos autenticarla.
Para verificar la autenticidad de un número de teléfono es recomendable colgar y contactar directamente con la empresa u organización que supuestamente está llamando. Por otro lado, hay que evitar responder a llamadas o mensajes no solicitados que soliciten información personal o financiera.
Instalar la autenticación multifactor
“Es fundamental implementar medidas de seguridad como la autenticación multifactor para añadir una capa adicional de seguridad, lo que garantiza que incluso si una contraseña se ve comprometida, el acceso no autorizado sigue bloqueado”, recuerda el director general de Check Point Software.
El especialista también opina que, para luchar contra este tipo de estafas, se requiere la máxima atención y un enfoque proactivo de la seguridad que incluya la educación en ciberseguridad. Esto ayudará a la hora de reconocer señales de phishing y realizar la verificación de la autenticidad de los números de teléfono y la actualización regular de contraseñas.