El investigador Jan Soucek ha informado de un fallo de seguridad en la aplicación Mail, instalada por defecto como programa de correo electrónico en todos los dispositivos Apple (ordenadores Mac, iPhone y iPad) que puede ser utilizada por un ciberdelincuente para obtener ilícitamente la contraseña de acceso de iCloud.

Recursos afectados

En principio afectaría potencialmente a cualquier usuario del programa "Mail" incluido en dispositivos Apple: ordenadores Mac, iPhone e iPad.

Solución

Aunque el fallo de seguridad todavía no ha sido corregido, sus efectos pueden evitarse con una sencilla conducta preventiva: Si recibes un correo electrónico en cualquiera de tus dispositivos Apple (Mac, iPhone, iPad) que al abrirlo tiene un link que al ser clickeado solicita una contraseña, cierra el mensaje sin introducir la contraseña y bórralo: así estarás protegido.

Si ya es demasiado tarde y has hecho clic en el enlace y facilitado tus credenciales, modifica lo antes posible tu contraseña de acceso y las de todos aquellos servicios en los que utilizases la misma contraseña. Recuerda: es muy importante gestionar de forma segura las contraseñas de acceso a los distintos servicios de Internet para evitar problemas.

Además, si has facilitado otro tipo de información personal -número PIN, CVV, coordenadas de la tarjeta de seguridad, etc.- contacta con tu banco a través de los canales que facilita para estos casos.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

Detalles

La ingeniería social es utilizada por los delincuentes para intentar engañarnos de muchas formas diferentes con el objetivo de acceder a información privada, infectar el ordenador con algún tipo de virus, robar datos bancarios, etc. En esta ocasión, un fallo de seguridad en la aplicación Mail puede ser utilizado por ciberdelincuentes para enviar correos maliciosos capaces de hacer creer a los usuarios, que es necesario que introduzcan su nombre de usuario y contraseña de iCloud. Es posible ver un vídeo ilustrativo de cómo el fallo podría ser utilizado con intenciones maliciosas:

El email contiene código especialmente diseñado para mostrar un cuadro de diálogo que solicite al usuario diferentes credenciales de acceso como por ejemplo, para acceder al servicio iCloud.

Captura de pantalla del email fraudulento que se aprovecha del fallo de seguridad de la aplicación Mail de Apple

Cuando el usuario introduce los datos, pueden enviarse a una web (un servidor web) completamente ajeno a Apple, de modo que ser pierde el control sobre los mismos y pueden ser utilizados por los ciberdelincuentes para llevar a cabo conductas maliciosas (robo de identidad, robo de información, entre ellas). Incluso, el ataque puede desarrollarse de manera que el usuario reciba un mensaje de confirmación después de introducir su contraseña en el cuadro de diálogo aparecido en el correo electrónico, y así le haga creer que todo va bien.

Captura de pantalla del email fraudulento que se aprovecha del fallo de seguridad de la aplicación Mail de Apple