AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Las notificaciones legítimas de Apple, objetivo de una nueva campaña de phishing altamente sofisticada**

admin

### 1. Introducción

En las últimas semanas, se ha detectado una campaña de phishing que explota las notificaciones legítimas de cambio de cuenta de Apple para distribuir supuestas confirmaciones de compra de iPhone fraudulentas. Este vector de ataque se caracteriza por el uso de correos electrónicos enviados directamente desde los propios servidores de Apple, lo que incrementa su legitimidad y dificulta su detección tanto por los usuarios como por los sistemas antispam corporativos. El fenómeno supone un nuevo giro en las técnicas de ingeniería social dirigidas a comprometer credenciales y datos sensibles de usuarios y empresas.

### 2. Contexto del Incidente

Las campañas de phishing a través de notificaciones falsas son una táctica ampliamente utilizada por los actores de amenazas. Sin embargo, el abuso de flujos legítimos de comunicación —en este caso, notificaciones de Apple Account Change— eleva el nivel de sofisticación y el potencial de éxito del ataque. Estas notificaciones, generadas por acciones legítimas o simuladas en cuentas Apple ID, contienen información real y enlaces válidos, lo que ha permitido a los atacantes camuflar mensajes de phishing en comunicaciones genuinas.

Durante abril y mayo de 2024, analistas de amenazas han observado un repunte en los reportes de correos electrónicos en los que se notifica a los usuarios sobre la supuesta compra de un dispositivo iPhone. Estos correos, aunque enviados desde direcciones legítimas de Apple, contienen enlaces o instrucciones maliciosas dirigidas a robar credenciales o a instalar malware.

### 3. Detalles Técnicos

#### 3.1 Vector de ataque y procedimiento

El vector principal consiste en iniciar un proceso de cambio o recuperación de cuenta Apple ID, lo que desencadena una notificación automática enviada desde los servidores legítimos de Apple (por ejemplo, appleid@id.apple.com). Aprovechando esta vía, los atacantes insertan mensajes personalizados en la sección de «comentarios» o «información adicional», incluyendo enlaces o instrucciones fraudulentas.

#### 3.2 Técnicas y procedimientos (TTP) MITRE ATT&CK

– **T1566.002 (Phishing: Spearphishing via Service):** La campaña emplea spearphishing a través de servicios legítimos, concretamente el canal de notificaciones de Apple.
– **T1192 (Spearphishing Link):** Se utilizan enlaces maliciosos insertados en los campos personalizables de la notificación.
– **T1110 (Brute Force) y T1078 (Valid Accounts):** El acceso a cuentas Apple ID puede facilitar ulteriores movimientos laterales o escalado de privilegios si se comprometen credenciales válidas.

#### 3.3 Indicadores de compromiso (IoC)

– Correos provenientes de appleid@id.apple.com, con asunto relacionado con cambios de cuenta o compras recientes.
– Presencia de mensajes adjuntos o enlaces en campos no habituales.
– Redirección a dominios externos a apple.com, frecuentemente enmascarados mediante servicios de acortamiento de URL.

#### 3.4 Versiones y plataformas afectadas

El ataque afecta a cualquier usuario o empresa que utilice servicios Apple ID, sin distinción de versión. Afecta a sistemas iOS, macOS y a plataformas que dependen de la autenticación Apple.

### 4. Impacto y Riesgos

El riesgo principal reside en la alta probabilidad de que los usuarios confíen en la legitimidad del correo, ya que proviene de servidores Apple y contiene información verídica sobre sus cuentas. Esto facilita la caída en la trampa del phishing, exponiendo credenciales de acceso, datos personales y, en entornos empresariales, recursos corporativos integrados con Apple ID.

Se ha observado que algunas variantes del ataque redirigen a páginas de phishing que clonan el aspecto de apple.com, mientras que otras buscan instalar payloads adicionales, como troyanos o infostealers, aprovechando vulnerabilidades conocidas de los navegadores o sistemas operativos.

En términos económicos, los ataques de phishing representan el 36% de los incidentes de seguridad reportados por grandes organizaciones en 2023, y se estima que el impacto medio por incidente supera los 150.000 euros, según el último informe de ENISA.

### 5. Medidas de Mitigación y Recomendaciones

– **Capacitación y concienciación:** Refuerzo de la formación del personal sobre las nuevas variantes de phishing, especialmente aquellas que aprovechan servicios legítimos.
– **Análisis de contenido:** Configuración avanzada de gateways de correo y EDR para examinar los campos personalizables de notificaciones automáticas, buscando patrones anómalos o enlaces externos no autorizados.
– **Política de doble factor (MFA):** Habilitar MFA en todas las cuentas Apple ID corporativas y personales.
– **Restricción de cambios de cuenta:** Monitorizar y limitar los procesos de cambio de cuenta o compra desde dispositivos no verificados.
– **Revisión de logs:** Analizar accesos y cambios en cuentas Apple, correlacionando con tickets o solicitudes internas para detectar actividades no autorizadas.

### 6. Opinión de Expertos

Varios analistas de ciberseguridad, como los equipos de respuesta de CERT-EU y expertos de SANS Institute, alertan sobre la necesidad de mejorar los mecanismos de validación de los campos personalizables en las notificaciones automáticas de grandes proveedores, como Apple. Recomiendan que los vendors implementen filtros estrictos para evitar la inclusión de enlaces o instrucciones ajenas al propósito original del mensaje.

### 7. Implicaciones para Empresas y Usuarios

El abuso de canales legítimos para campañas de phishing representa una amenaza significativa para el sector corporativo, especialmente en entornos BYOD y teletrabajo, donde los dispositivos Apple son comunes. Las empresas deben actualizar sus políticas de seguridad, reforzar la monitorización de cuentas e informar proactivamente a los usuarios sobre este vector de ataque. A nivel de cumplimiento normativo, incidentes de este tipo pueden acarrear sanciones bajo la GDPR y obligaciones de reporte según la Directiva NIS2.

### 8. Conclusiones

La sofisticación de las campañas de phishing evoluciona constantemente, y el abuso de notificaciones legítimas de Apple demuestra la capacidad de los atacantes para sortear barreras tradicionales de seguridad. Mitigar estos riesgos requiere una combinación de soluciones técnicas, formación continua y la colaboración estrecha entre los equipos de seguridad y los proveedores de servicios digitales.

(Fuente: www.bleepingcomputer.com)