En una nueva oleada de ataques cibernéticos, usuarios de iPhone se han convertido en objetivo de una sofisticada campaña dirigida hacia los sistemas de autenticación multifactor (MFA). Los piratas informáticos han implementado tácticas como el 'vishing' para obtener acceso a permisos del sistema de manera fraudulenta.

Este tipo de ataque, conocido como Push Bombing o bombardeo MFA, consiste en enviar constantes notificaciones 'push' con solicitudes de autenticación multifactor, engañando a los usuarios haciéndoles creer que provienen del sistema legítimo.

A raíz de la avalancha de alertas engañosas, los usuarios pueden verse tentados a otorgar permisos y accesos a información confidencial sin percatarse de que en realidad están cayendo en la trampa de los ciberdelincuentes.

Además, se ha observado un aumento de los ataques de 'vishing', una forma de fraude telefónico en la que los delincuentes se hacen pasar por personal de soporte técnico de la marca del dispositivo comprometido, como en el caso de iPhone.

Brian Krebs, experto en ciberseguridad de la firma Krebs on Security, ha revelado la existencia de una nueva campaña maliciosa que combina estas técnicas fraudulentas y que está dirigida específicamente a dispositivos iPhone.

Un ejemplo concreto es el caso de Parth Patel, un empresario que fue blanco de uno de estos ataques. Tras recibir múltiples solicitudes para cambiar su contraseña de ID de Apple, Patel finalmente fue contactado telefónicamente por un estafador que se hacía pasar por soporte oficial de la marca.

A pesar de compartir información personal con el impostor, Patel se dio cuenta de la estafa cuando se le pidió que revelara una contraseña de un solo uso, lo cual indicaba claramente que se trataba de un intento de fraude. Según Krebs, proporcionar esta contraseña permitiría a los atacantes tomar control de la cuenta y eliminar todos los dispositivos Apple asociados a la misma.

Estos ataques no son casos aislados, ya que según Krebs, se han registrado múltiples incidentes similares en los que los ciberdelincuentes han utilizado la misma técnica de bombardeo MFA para confundir y engañar a los usuarios desprevenidos.