Un nuevo ataque al servicio iCloud de Apple podría poner en riesgo tus activos digitales. Según un reciente comunicado de MetaMask, uno de los servicios de wallets de criptomonedas más conocidos, una nueva vulnerabilidad podría llevar a que tus NFT y criptomonedas sean sustraídas por grupos de ciberdelincuentes.

Según confirma AppleInsider, los usuarios de iCloud se están enfrentando a un nuevo ataque del estilo phishing. El gran peligro en esta ocasión radica en la sincronización entre la billetera MetaMask con el servicio en la nube de Apple. De esta forma, al vulnerar este último, los ciberdelincuentes aprovecharían para hacerse con los datos de tu wallet. Esto abarca, por supuesto, la frase semilla y tu contraseña.

MetaMask advierte que, si tu clave no es lo suficientemente fuerte, podrías enfrentarte a la pérdida de tus activos cuando se lleve a cabo otro ataque del mismo tipo. Además, no se trata solo de un riesgo teórico. Un usuario de la famosa blockchain BoredApe confirmó recientemente el robo de un estimado de cien mil dólares estadounidenses en criptomonedas ApeCoin.

Hola a todos, veamos lo increíble que puede ser esta comunidad. Me acaban de robar toda la billetera. Completamente limpia.

También se han robado 100k en ApeCoin.
Busco toda la ayuda que pueda conseguir.

100k de recompensa.

Domenic Lacovone

Cómo funciona la estafa de iCloud y las wallet de criptomonedas

Durante el 14 de abril de 2022, Domenic Lacovone, usuario de Twitter y de la plataforma BoredApe, fue víctima de un terrible robo sin saberlo. Todo el contenido de su wallet fue sustraído de manera ilícita, incluyendo todos los activos NFT y alrededor de 100 mil dólares estadounidenses en moneda ApeCoin.

Según comenta Lacovone, el robo se llevó a cabo después de recibir una misteriosa llamada. Según la identificación mostrada por el iPhone de Domenic, se tratada de una llamada proveniente directamente de las oficinas de Apple. En el identificador, el usuario asegura que se podía leer el nombre de la compañía. No obstante, cuando intentó llamar de regreso al número, los ciberdelincuentes detrás de la fachada le pidieron que suministrara un código que había sido enviado a su iPhone.

Para sorpresa del usuario, apenas unos segundos más tarde su billetera entera había sido vaciada hasta el último rincón.

Cómo funciona la estafa

Si has estado leyendo, probablemente te preguntas cómo fueron capaces de hacerse pasar por Apple. Y cómo pudieron entrar a su cuenta solo con un código enviado a su iPhone, si ni siquiera formaban parte realmente de la compañía. Bueno, la respuesta es bastante simple, en realidad.

Los atacantes lograron entrar a la cuenta de Lacovone usando su clave de iCloud. No obstante, se encontraron con una segunda muralla de seguridad: la autenticación de dos factores. La única forma de saltarse este paso es teniendo el dispositivo asociado a la cuenta en mano y desbloqueado, por supuesto. Por esto, los ciberdelincuentes decidieron llamar al usuario pidiéndole el código, mientras se hacían pasar por Apple.

Ahora, ya no existían más muros de protección entre la cuenta de Domenic y los ladrones. Aprovechando que la cuenta de MetaMask del usuario estaba sincronizada con la nube, pudieron entrar a los datos de su wallet y llevarse todo lo que estaba allí sin dejar más rastros que el vacío de la billetera.

No es ni mucho menos la primera vez que se roban NFT o criptomonedas en un ataque de phishing. Ya en febrero, se robaron activos digitales por valor de casi 1,7 millones de dólares en un ataque a usuarios de OpenSea.

Apple Insider

Así puedes protegerte de este tipo de estafas

Lo primero que debes hacer para no caer en este tipo de estafas será cambiar tu contraseña por una más segura. Desde 1Password puedes generar claves fuertes y difíciles de romper; y si tienes la aplicación descargada, también puedes almacenarlas en su nube para mantenerlas seguras y fuera del alcance de terceros.

Por otra parte, MetaMask recomienda a los usuarios desactivar la sincronización entre iCloud y la billetera. ¿Cómo se hace? Es sencillo.

  1. Solo entra a la app Ajustes de tu iPhone.
  2. Aquí, toca en tu nombre en la parte superior de la pantalla.
  3. Entra a iCloud.
  4. Verás una lista de apps que se encuentran sincronizadas. Busca MetaMask y desactiva el interruptor.

Listo, ahora los datos de tu cuenta MetaMask no estarán sincronizados con tu iPhone o iPad. Así que, al menos en este apartado, tu cuenta debería ser un poco más segura que antes.

Como último método, está el de no contestar llamadas, mensajes o correos electrónicos de personas que pretendan ser Apple. Los de Cupertino nunca van a pedir ningún tipo de información por estos métodos, y mucho menos la contraseña de tu cuenta o el código de autenticación de dos factores. En caso de hacerlo, será a través de su sitio web, bajo el uso de páginas certificadas y cifradas.

Además, Apple nunca se comunica directamente con sus clientes; así que si crees que has sido contactado por ellos, míratelo dos veces antes de dar tu información.