Pagar con el móvil se ha vuelto una práctica común en la actualidad. Solo necesitas acercar tu dispositivo al terminal de punto de venta (TPV) para completar la transacción, ya sea en una tienda, en el transporte público o en cualquier lugar que acepte este método. Servicios como Apple Pay y Google Pay son frecuentemente utilizados. Sin embargo, esta popularidad también ha atraído a los hackers, quienes buscan aprovecharse de los usuarios. En este artículo, abordamos una nueva campaña maliciosa.
Esta campaña está dirigida, específicamente, a los usuarios de Apple Pay. Te explicaremos la táctica que están utilizando y qué medidas puedes tomar para protegerte de los cibercriminales. Es esencial que reduzcas tu exposición en línea, lo cual debes aplicar también al realizar compras por Internet o al utilizar métodos de pago como los mencionados.
Campaña maliciosa dirigida a usuarios de Apple Pay
Este ataque se trata de una sofisticada campaña de Phishing. Está orientada a usuarios de Apple Pay y ha sido detectada por expertos en seguridad de Malwarebytes, una firma especializada, como se detalla en su publicación del 6 de febrero. Su objetivo principal es robar información relacionada con métodos de pago.
El ataque comienza con un correo electrónico, una táctica común en este tipo de estafas. En este email, se hace pasar por Apple, con un diseño que aparenta ser oficial y cuidando cada detalle. Buscan generar temor al informar sobre un cargo elevado que ha sido bloqueado en una Apple Store. Proporcionan datos como un supuesto ID de transacción, una marca de tiempo y una advertencia sobre el peligro para la cuenta.
Además, suelen incluir un mensaje que indica que se ha agendado una cita para que el usuario, como supuesta víctima, pueda revisar la actividad sospechosa. Proporcionan un número de teléfono para asistencia inmediata. Por lo tanto, se trata de un ataque conocido como vishing, donde utilizan llamadas fraudulentas en lugar de enlaces falsos. Cabe destacar que, gracias a la inteligencia artificial, estas llamadas son ahora más convincentes.
El objetivo es obtener códigos de acceso y datos de pago. Se aprovechan de la confianza que genera la marca Apple en los usuarios, eludiendo así las medidas de seguridad. Si tienen éxito, podrían acceder completamente a la cuenta de Apple, visualizando fotos, datos personales y tarjetas de crédito vinculadas.
Fases de la estafa
| Paso | Acción del Atacante | Objetivo |
|---|---|---|
| 1 | Envio de un correo de phishing masivo suplantando a Apple. | Generar alarma y urgencia en la víctima con un falso aviso de compra. |
| 2 | Incluir un número de teléfono falso de ‘soporte técnico’. | Dirigir a la víctima hacia el ataque de voz (vishing). |
| 3 | El falso agente solicita un código de verificación enviado por SMS. | Obtener el código de autenticación de dos factores (2FA) para acceder a la cuenta. |
| 4 | Acceso no autorizado a la cuenta de Apple ID. | Robar datos personales, fotos y detalles de las tarjetas de pago asociadas. |
Cómo actuar
Si realizas la llamada, te atenderá un supuesto agente de Apple que intentará ayudarte a evitar que se realice un pago con tu cuenta de Apple Pay. Te informarán que están en una tienda intentando hacer un pago y que debes actuar de inmediato. Te pedirán que les proporciones un código de autenticación para bloquear esa transacción.
Con lo que hemos mencionado, puedes deducir que la mejor manera de prevenir problemas es simplemente no actuar. Si recibes un correo de este tipo, donde te alertan de un pago fraudulento o que tu cuenta está en riesgo, ignóralo. Ten cuidado de no llamar al número proporcionado. Además, nunca debes compartir códigos de acceso, ya que Apple, tu banco o ninguna plataforma legítima te lo solicitará.
Si crees que has cometido un error o que tu cuenta está en peligro, es crucial que actúes rápidamente. Asegúrate de cambiar la contraseña de inmediato y de tener siempre habilitada la autenticación en dos pasos.
Por otro lado, mantener una protección general de tu dispositivo es fundamental. Verifica que tengas todo actualizado y que utilices programas de seguridad confiables. Esto evitará que intrusos aprovechen vulnerabilidades o que tu dispositivo tenga algún malware que comprometa tu seguridad y privacidad.
Señales de alerta
| Indicador | Descripción | Acción Recomendada |
|---|---|---|
| Remitente del correo | No proviene de un dominio oficial ‘@apple.com’. | Marcar como spam y eliminar. |
| Tono del mensaje | Alarmista, exige una acción inmediata para evitar consecuencias negativas. | Ignorar. Las empresas legítimas no utilizan la coerción. |
| Solicitud de datos | Piden contraseñas, códigos SMS o detalles de tarjeta. | Nunca compartir. Es la señal más clara de fraude. |
| Enlaces y teléfonos | Dirigen a sitios web no oficiales o proporcionan números de teléfono no verificados. | No hacer clic ni llamar. Siempre acudir a la web/app oficial. |
En resumen, mantente alerta ante esta nueva campaña maliciosa que suplantan a Apple para atacar a los usuarios de Apple Pay. Quieren robar tu información y es crucial ignorar correos electrónicos de advertencia de este tipo.
Preguntas frecuentes
¿Afecta esta campaña maliciosa a usuarios de Google Pay?
No, esta campaña está enfocada únicamente en usuarios de Apple Pay. Sin embargo, podría haber otras similares que afecten a otros usuarios.
¿Qué hago si he caído en la trampa?
Cambia tu contraseña de inmediato, bloquea las tarjetas que puedan haber quedado expuestas y revisa tu dispositivo por si has descargado algún malware.
¿Me protege un antivirus?
Aunque es importante tener un antivirus instalado, no te protegerá de muchos tipos de ataques, como el Phishing. Por lo tanto, el sentido común y mantener todo actualizado es fundamental.
