Los estafadores pueden engañar incluso a aquellos que conocen las señales
Puede que tengas buen ojo para detectar estafas, pero los estafadores están encontrando nuevas formas de usar sistemas de confianza como arma para evitar ser detectados. Por ejemplo, los cibercriminales generan tickets de soporte técnico de Apple reales para suplantar códigos de autenticación de dos factores (2FA) y obtener acceso a cuentas de iCloud.
El esquema, detallado en Medium por Eric Moret, investigador de seguridad y gerente de productos de software, muestra cómo las tácticas de ingeniería social pueden sembrar el miedo y la confusión necesarios para engañar incluso a quienes conocen las señales de alerta. (La estafa de transferencia de dinero que estafó a un columnista de asesoramiento financiero por 50.000 dólares es otro ejemplo).
Cómo explotan los estafadores el sistema de soporte de Apple
La estafa de soporte de Apple comenzó con un mensaje de texto de Apple con un código de 2FA, seguido de notificaciones de verificación en todos los dispositivos, indicando que alguien intentaba iniciar sesión en la cuenta de Moret. Posteriormente, recibió una llamada automática de Apple con otro código de 2FA. El mensaje de texto provenía de un código corto de cinco dígitos y la llamada de un número gratuito; ambos son utilizados por empresas legítimas y no necesariamente indicios de una estafa.
La siguiente llamada, sin embargo, provino de un número de teléfono 404 de Atlanta. La persona que llamó afirmó ser del Soporte Técnico de Apple, indicó que la cuenta de Moret estaba siendo atacada y le aseguró que estaban abriendo un ticket de soporte. Durante una llamada de seguimiento de 25 minutos, Moret recibió una confirmación real de un caso de Soporte Técnico de Apple por correo electrónico (resulta que cualquiera puede crear un ticket de Soporte Técnico de Apple a nombre de otra persona) y se le indicó que restableciera su contraseña de iCloud.
Recibió un enlace por SMS —esta vez desde el número 404— para cerrar el ticket. Tras hacer clic, Moret fue redirigido a un sitio web de phishing que suplantaba una página real de Apple (la URL era appeal-apple[punto]com), donde se le pidió que ingresara un código de 2FA de 6 dígitos que acababa de recibir por SMS. Un correo electrónico a su bandeja de entrada le alertó de que se había usado una Mac mini desconocida para iniciar sesión en su cuenta de iCloud, algo que, según le explicó el representante por teléfono, era "previsible como parte del proceso de seguridad" y "procedimiento estándar".
Moret luego restableció inmediatamente su contraseña de iCloud nuevamente para expulsar el dispositivo no autorizado.
En retrospectiva, puede ser fácil ver las señales: la llamada no solicitada sobre un problema de seguridad urgente, el número 404, el enlace de phishing que no es un subdominio real de Apple, la solicitud de un código de autenticación. Pero el ticket de soporte de Apple —con un número de caso real y correos electrónicos oficiales de dominios apple.com— le dio la credibilidad justa, y las múltiples notificaciones de 2FA la urgencia justa, para funcionar.
Ese es el problema de la ingeniería social: manipula emociones e instintos que son más fuertes que la lógica y la razón, lo que lleva a acciones que no nos convienen.
Cómo mantenerte a salvo
Como siempre, desconfía de cualquier persona que le llame, te envíe un mensaje de texto o un correo electrónico sobre un problema de seguridad o de tu cuenta, incluso si has recibido alertas de seguridad reales o tienes un número de caso legítimo. No hagas clic en enlaces, introduzcas credenciales ni proporciones códigos cuando lo soliciten estas personas que llaman sin ser contactadas. No aceptes palabras tranquilizadoras por teléfono, por muy tranquilos y seguros que suenen.
Si te preocupa, comunícate directamente con la marca usando información de contacto confiable o abre tickets de soporte tu mismo. Siempre revisa cuidadosamente las URL y los subdominios, ya que los hackers pueden usar trucos para hacerlos parecer legítimos .
Además, ten en cuenta que tener activada la autenticación de dos factores (2FA) no es suficiente para mantener tus cuentas seguras. Algunos formularios son (obviamente) fáciles de suplantar, por lo que, si es posible, deberías usar un método de autenticación multifactor, como una llave de hardware o credenciales WebAuthn (biometría y claves de acceso), en lugar de códigos.
