Es muy probable que algunas personas piensen: «es un iPhone, estoy a salvo». En algún punto, esto se debe a que el control de Apple sobre su ecosistema de dispositivos y aplicaciones ha sido históricamente estricto, y su enfoque de jardín vallado da menos oportunidades de encontrar puntos débiles. Además, hay varias funciones de seguridad integradas, como el cifrado fuerte y la contenerización, que ayudan a evitar la fuga de datos y limitan la propagación de malware

A pesar de todo esto, no se eliminan los riesgos por completo, ya que las estafas cotidianas y otras amenazas bombardean también a usuarios de iOS. Aunque algunas son más comunes que otras, todas exigen atención.

Por otro lado, el hecho de que las aplicaciones de iOS suelan proceder de la App Store oficial de Apple y deban superar estrictas pruebas para ser aprobadas ha evitado algunos dolores de cabeza relacionados con la seguridad y la privacidad a lo largo de los años. Pero la reciente ley antimonopolio de la UE, conocida como Ley de Mercados Digitales (DMA), pretende que los usuarios de iOS tengan la opción de utilizar mercados de aplicaciones de terceros.

Esto traerá nuevos retos a Apple a la hora de proteger a los usuarios de iOS de posibles daños y a los que utilicen sus productos, ya que tendrán que ser más conscientes de las amenazas. Este cambio de las reglas de juego, sin dudas, será aprovechado por el cibercrimen.

Para cumplir con la DMA, Apple debe permitir que:

  • Desarrolladores ofrezcan aplicaciones de iOS a través de mercados ajenos a la App Store. Esto podría aumentar las posibilidades de que los usuarios descarguen aplicaciones maliciosas. 
  • Los motores de navegación de terceros puedan usarse en iOS. Esto puede ofrecer nuevas oportunidades de ataque que el WebKit de Apple no.
  • Las diversas funciones de conectividad - como wifi peer-to-peer o emparejamiento de dispositivos— estén accesibles para cualquier fabricante de dispositivos y desarrolladores de aplicaciones de terceros. En este punto, el gigante tecnológico argumenta que esto significaría verse obligado a enviar a estos desarrolladores datos sensibles de los usuarios, como notificaciones con mensajes personales, detalles de la red wifi o códigos de un solo uso. En teoría, podrían utilizar la información para rastrear a los usuarios, advierte.

Dónde acechan otras amenazas para iOS

Aunque lo anterior puede afectar «solo» a los ciudadanos de la UE, también hay otras preocupaciones, posiblemente más inmediatas, para los usuarios de iOS en todo el mundo. Por ejemplo:

Dispositivos con jailbreak

Si desbloqueas deliberadamente tu dispositivo para permitir lo que Apple denomina «modificaciones no autorizadas», podrías violar tu Contrato de Licencia de Software y desactivar algunas funciones de seguridad integradas, como el Arranque Seguro y la Prevención de Ejecución de Datos. También significará que tu dispositivo dejará de recibir actualizaciones automáticas. Y al poder descargar aplicaciones de fuera de la App Store, estarás expuesto a software malicioso y/o con errores.

Aplicaciones maliciosas

Aunque Apple hace un buen trabajo a la hora de examinar las aplicaciones, no acierta el 100% de las veces. Entre las aplicaciones maliciosas detectadas recientemente en la App Store se incluyen:

Descargas de aplicaciones desde sitios web

También hay que tener cuidado con las descargas de aplicaciones para iOS directamente desde sitios web con navegadores compatibles. Como se detalla en el último ESET Threat Report, las aplicaciones web progresivas (PWA) permiten la instalación directa sin necesidad de que los usuarios concedan permisos explícitos, lo que significa que las descargas podrían pasar desapercibidas. ESET descubrió esta técnica utilizada para disfrazar malware bancario como aplicaciones legítimas de banca móvil.

Phishing/ingeniería social

Los ataques de phishing por correo electrónico, texto (o iMessage) e incluso voz son habituales. Se hacen pasar por marcas legítimas y engañan al usuario para que facilite sus credenciales o haga clic en enlaces maliciosos o abra archivos adjuntos para desencadenar descargas de malware. Los ID de Apple se encuentran entre los inicios de sesión más preciados, ya que pueden proporcionar acceso a todos los datos almacenados en tu cuenta de iCloud y/o permitir a los atacantes realizar compras en iTunes/App Store. Cuidado con:

  • Ventanas emergentes falsas que afirman que tu dispositivo tiene un problema de seguridad
  • Llamadas telefónicas fraudulentas y llamadas FaceTime haciéndose pasar por el Soporte de Apple u organizaciones asociadas
  • Promociones falsas que ofrecen regalos y sorteos
  • Spam de invitaciones al calendario con enlaces de phishing
Scam website iOS
Sitio web fraudulento en el que se solicita al usuario que se suscriba a eventos del calendario en iOS (Para más detalles, consulte esta investigación de ESET)

En una campaña muy sofisticada, los autores de la amenaza utilizaron técnicas de ingeniería social para engañar a los usuarios y conseguir que descargaran un perfil de gestión de dispositivos móviles (MDM) que les permitiera controlar los dispositivos de las víctimas. Con esto, desplegaron el malware GoldPickaxe, diseñado para recopilar datos biométricos faciales y utilizarlos para eludir los inicios de sesión bancarios.

Riesgos de las redes wifi públicas

Si conecta su iPhone a un punto de acceso wifi público, tenga cuidado. Es posible que se trate de un punto de acceso falso creado por agentes de amenazas para vigilar el tráfico web y robar información confidencial, como contraseñas bancarias. Incluso si el punto de acceso es legítimo, muchos no cifran los datos en tránsito, lo que significa que los hackers con las herramientas adecuadas podrían ver los sitios web que visita y las credenciales que introduce.

Aquí es donde resulta útil una VPN, que crea un túnel cifrado entre tu dispositivo e Internet.

Echa un vistazo a la lista de comprobación de seguridad iOS de ESET para saber lo seguro que está tu iPhone.

Vulnerabilidades

Aunque Apple dedica mucho tiempo y esfuerzo a garantizar que su código esté libre de vulnerabilidades, a veces se cuelan fallos en la producción. Cuando lo hacen, los piratas informáticos pueden aprovecharse si los usuarios no han actualizado su dispositivo a tiempo, por ejemplo, enviando enlaces maliciosos en mensajes que activan un exploit si se hace clic sobre ellos.

  • El año pasado, Apple se vio obligada a parchear una vulnerabilidad que podía permitir a los agresores robar información de un dispositivo bloqueado mediante comandos de voz de Siri
  • En ocasiones, los propios actores de amenazas y empresas comerciales investigan nuevas vulnerabilidades (de día cero) para explotarlas. Aunque son poco frecuentes y muy selectivos, los ataques que aprovechan estas vulnerabilidades se utilizan a menudo para instalar de forma encubierta programas espía con el fin de espiar los dispositivos de las víctimas

Mantenerse a salvo de las amenazas de iOS

Puede parecer que hay malware acechando en cada esquina para los usuarios de iOS. Eso puede ser cierto, hasta cierto punto, pero también hay un montón de cosas para minimizar su exposición a las amenazas. He aquí algunas de las principales tácticas:

  • Mantén tu iOS y todas las aplicaciones actualizadas. Esto reducirá la ventana de oportunidad para que los actores de amenazas exploten cualquier vulnerabilidad en versiones antiguas para lograr sus objetivos.
  • Utiliza siempre contraseñas seguras y únicas para todas las cuentas, quizás utilizando el gestor de contraseñas de ESET para iOS, y activa la autenticación multifactor si se ofrece. Esto es fácil en los iPhones, ya que requerirá un simple escaneo de Face ID. Esto asegurará que, incluso si los malos se hacen con tus contraseñas, no podrán acceder a tus aplicaciones sin tu cara.
  • Activa Face ID o Touch ID para acceder a tu dispositivo, respaldado con una contraseña segura. Esto mantendrá el iPhone seguro en caso de pérdida o robo.
  • No hagas jailbreak a tu dispositivo, por las razones mencionadas anteriormente. Lo más probable es que tu iPhone sea menos seguro.
  • Ten cuidado con el phishing. Eso significa tratar con extrema precaución las llamadas, mensajes de texto, correos electrónicos y mensajes de redes sociales no solicitados. No hagas clic en enlaces ni abras archivos adjuntos. Si realmente necesitas hacerlo, comprueba por separado con el remitente que el mensaje es legítimo (es decir, no respondiendo a los datos que figuran en el mensaje). Busque signos reveladores de ingeniería social, como por ejemplo
    • Errores gramaticales y ortográficos
    • Urgencia para actuar
    • Ofertas especiales, regalos y ofertas demasiado buenas para ser ciertas
    • Dominios del remitente que no coinciden con el supuesto remitente
  • Evita las redes wifi públicas. Si tienes que utilizarla, intenta hacerlo con una VPN. Como mínimo, no inicies sesión en ninguna cuenta valiosa ni introduzcas información confidencial en una red wifi pública.
  • Intenta limitarte a la App Store para cualquier descarga, con el fin de minimizar el riesgo de descargar algo malicioso o arriesgado.
  • Si crees que puedes ser objetivo de programas espía (utilizados a menudo por gobiernos y regímenes opresores contra periodistas, activistas y disidentes), activa el modo de bloqueo.
  • Estate atento a los signos reveladores de una infección por malware, que podrían incluir
    • Rendimiento lento
    • Ventanas emergentes de publicidad no deseada
    • Sobrecalentamiento
    • Caídas frecuentes del dispositivo o la aplicación
    • Aparición de nuevas aplicaciones en la pantalla de inicio
    • Aumento del consumo de datos

El iPhone de Apple sigue siendo uno de los dispositivos más seguros que existen. Pero no son una bala de plata para todas las amenazas. Mantente alerta. Y mantente seguro.

encuesta-ia-bannerTe invitamos a contestar un pequeño quiz y participar del sorteo de una suscripción por un año a ESET Home Security Premium. Haz clic aquí.