¡Alerta, usuarios de Apple! Cibercriminales te engañan para que abras links maliciosos en iMessage

Ciberdelincuentes han emprendido una campaña de “smishing”, engañando a los usuarios para que desactiven la protección de los mensajes de remitentes desconocidos en la app iMessage de Apple, habilitando el acceso a posibles sitios web maliciosos o a la descarga de “malware”, según un reporte publicado en el portal Bleeping Computer.

¿Cómo atacan los cibercriminales a usuarios de iMessage?

La campaña de ciberataques de smishing desactiva la protección de los mensajes de remitentes desconocidos en iMessage, solicitando a los usuarios que respondan al mensaje enviado para desbloquear los enlaces que contiene.

Los cibercriminales se aprovechan de la función de Apple que bloquea la llegada de mensajes de personas o números de teléfono concretos, así como filtrar mensajes de remitentes desconocidos, que quedan almacenados en otra carpeta sin notificar al usuario de su llegada.

• Además, existe la opción de filtrar mensajes de desconocidos, bloqueando también los enlaces incluidos en dichos mensajes. Para acceder a dichos links, el usuario debe añadir al remitente a sus contactos o responder al mensaje en cuestión, según la página de soporte de Apple.

Los atacantes ejecutan un ataque de “smishing”, es decir, phishing por SMS, para convencer a los usuarios de responder a un mensaje con link malicioso y, de esta manera, desactiven el bloqueo que afecta a los enlaces de mensajes desconocidos, según el reporte de Bleeping Computer.

[TE RECOMENDAMOS: Atento: así te engañan y extorsionan en cuesta de enero]

¡Cuidado con estos ataques a usuarios de Apple!

Al engañar a los usuarios vía SMS, los actores maliciosos consiguen evitar la protección de iMessage para que accedan a los enlaces maliciosos enviados, arriesgándolos a descargar malware o a sufrir robos de información.

Bleeping Computer identificó un aumento en estos ataques ‘smishing‘ desde el verano de 2024, en los que los actores maliciosos simulaban ser una entidad legítima para dotar de más credibilidad a su estafa y confundir a sus víctimas.

Un ejemplo del ataque de smishing a iMessage para que lo puedas identificar

En uno de los casos reconocidos por el medio, los ciberdelincuentes enviaron un mensaje haciéndose pasar por la compañía de transporte de paquetes UPS, en el que señalaban un problema con el envío por falta de información sobre la dirección de destino.

En el siguiente paso de la estafa, los ciberdelincuentes solicitaron a los usuarios que terminasen de introducir los datos necesarios pulsando en el enlace incluido en el mensaje.

En este caso, los atacantes incluyeron instrucciones para que los usuarios habiliten los enlaces respondiendo al mensaje en cuestión. Concretamente, pidieron lo siguiente:

• Responder con la letra “Y”.
• Salir del mensaje de texto
• Volver a abrir el enlace de activación del mensaje de texto o copiar el enlace al navegador Safari para abrirlo.

Fuente: Mensaje recogido por Bleeping Computer

De esta manera, el enlace queda desbloqueado y los usuarios pueden abrirlo, dándoles acceso a sitios web maliciosos. Por lo tanto, se recomienda no abrir links recibidos por parte de contactos desconocidos y, ante la duda, contactar directamente con la organización o empresa en cuestión para consultar el problema.

Te recomendamos:

Regreso a clases 2025: ¿cómo proteger a tus hijos del “sharenting” y otros peligros en línea?

¡Continúan estafas de multas falsas! Ciberdelincuentes se hacen pasar por el Gobierno de la CDMX: ve cómo identificar este fraude

Video

“Spoofing”: Policía Cibernética alerta por suplantaciones de bancos: ¿cómo evitar estos fraudes?

Ciberacoso o gromming tiene diferentes etapas, alerta UNAM cómo escala