Volver al inicio

Phishing a través de Notificaciones de Apple: Cómo Detectar una Falsa

Se describe un nuevo vector de ataque de phishing, en el que los atacantes incrustan mensajes maliciosos en notificaciones oficiales de Apple sobre cambios en los datos de la cuenta. El ataque utiliza la infraestructura legítima de la empresa y pasa todas las verificaciones estándar de autenticación de correo electrónico.

Nuevo Ataque de Phishing a través de Notificaciones de Apple: Detalles y Protección
Advertisement 728x90

Phishing a través de notificaciones de Apple: Cómo los hackers evaden los filtros de spam

Los hackers han aprendido a insertar mensajes de phishing en notificaciones oficiales de Apple utilizando la infraestructura legítima de la compañía. Estos correos electrónicos superan todas las verificaciones de autenticidad—SPF, DKIM y DMARC—y parecen alertas genuinas sobre cambios en los datos de la cuenta. Esto permite a los atacantes evadir los filtros de spam y ganarse la confianza de las víctimas.

Mecanismo de ataque

El atacante crea una cuenta de Apple ID y modifica los campos de nombre y apellido, insertando allí texto de phishing. Por ejemplo, en un caso, el campo de nombre decía: “You purchased an iPhone for $899 via PayPal,” y el apellido contenía un número de teléfono de “servicio de soporte”. El hacker luego cambia los detalles de entrega en el perfil, lo que activa automáticamente una notificación de Apple sobre cambios en la cuenta.

Dado que Apple incluye los valores de los campos de nombre y apellido especificados por el usuario en el cuerpo del correo, el mensaje de phishing se convierte en parte de la notificación oficial. El correo se envía desde [email protected] con la dirección IP 17.111.110.47, propiedad de Apple, y supera todas las verificaciones estándar de autenticación de correo electrónico:

Google AdInline article slot
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]

El análisis de las cabeceras confirma que el correo proviene efectivamente de la infraestructura de Apple:

  • Servidor de origen: rn2-txn-msbadger01107.apple.com
  • Relé de salida: outbound.mr.icloud.com
  • Dirección IP del remitente: 17.111.110.47 (propiedad de Apple Inc.)

Distribución a través de listas de correo

Inicialmente, la notificación se envía a la dirección de iCloud vinculada a la cuenta del atacante. Sin embargo, las víctimas finales reciben el mismo correo en buzones externos. Esto sugiere el uso de reenvío o un mecanismo de lista de correo. Posiblemente, el hacker agrega las direcciones objetivo a la lista de contactos y utiliza una función de notificación masiva al cambiar el perfil.

Este enfoque hace que el ataque sea particularmente peligroso: el destinatario ve un correo que ha superado todas las verificaciones técnicas de autenticidad, con cabeceras correctas y dominio del remitente válido. Incluso usuarios experimentados podrían no sospechar del engaño.

Google AdInline article slot

Objetivos y consecuencias

Si la víctima llama al número especificado, los estafadores se hacen pasar por personal de soporte de Apple y afirman que la cuenta ha sido comprometida. Entonces pueden:

  • Convencer al usuario de instalar software de acceso remoto (p. ej., AnyDesk o TeamViewer).
  • Solicitar datos de tarjeta de crédito o cuenta bancaria para “cancelar la transacción”.
  • Intentar obtener el código de autenticación de dos factores o la contraseña de Apple ID.
  • Usar el acceso remoto para desplegar malware o robar datos.

Tácticas similares se usaron previamente en ataques de invitaciones al calendario de iCloud, donde mensajes de phishing se hacían pasar por notificaciones de compras. El nuevo vector —a través de notificaciones de cambios en el perfil— es aún más convincente, ya que se relaciona con la seguridad de la cuenta.

Puntos clave

  • La autenticidad no garantiza la seguridad: incluso correos que superan SPF/DKIM/DMARC pueden contener contenido malicioso si los atacantes usan servicios legítimos.
  • Apple no es directamente responsable: la vulnerabilidad proviene del sistema que incluye datos del usuario en las notificaciones sin sanitizarlos.
  • Ignorar los datos de contacto en las notificaciones: el soporte oficial de Apple nunca incluye números de teléfono en correos automatizados.
  • Los cambios de perfil requieren verificación: cualquier modificación de datos de la cuenta debe confirmarse mediante autenticación de dos factores, pero la notificación puede falsificarse antes de esta etapa.
  • Vigilar nombres inusuales en las cuentas: si tu Apple ID muestra un nombre o apellido extraño, es señal de compromiso.

Los desarrolladores y administradores de seguridad deben considerar que los canales de entrega confiables (incluidas las notificaciones de plataformas importantes) pueden explotarse para ingeniería social. El filtrado de contenido basado solo en autenticación técnica es insuficiente: se requiere análisis semántico y patrones de comportamiento.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Leer después