Mira bien las dos capturas de pantalla de iOS que ves justo arriba. Ambas te piden la contraseña de tu Apple ID, ¿verdad? Pues una de ellas es una petición legítima de iOS mientras que la otra es un aviso replicado en forma de ataque phishing. ¿Puedes diferenciarlas?

Ese es el problema, que no puedes. La captura de la derecha es donde tenemos el aviso camuflado, creado con el componente UIAlertController del SDK de iOS. Cualquier desarrollador puede hacer esto, y el aviso resultante cuando se usa el mismo texto y los mismos botones que una petición legítima de iOS es idéntico. Pero afortunadamente, hay formas de poder delatar este tipo de ataques.

No es un ataque, pero es un aviso muy importante

Antes que nada, calma: no circula ningún tipo de ataque de este tipo que se haya sabido. Todo es un experimento del desarrollador Felix Krause, quien quiere demostrar que engañar a cualquier persona con uno de estos avisos disfrazados puede ser tremendamente fácil.

Incluso si pulsas el botón Cancelar, la contraseña que has escrito puede ser enviada a terceras personas

De hecho, sólo hace falta escribir la contraseña en el campo de la petición para que el desarrollador pueda leerla. No hace falta ni que pulses ningún botón. Incluso si pulsas el botón cancelar, tu contraseña puede ser enviada a alguien que no va a tener buenas intenciones.

Y es ese mismo experimento el que nos revela cómo podemos darnos cuenta de que un aparente aviso de …