Categoría Apple macOS iPhone iPad
Categoría Apple macOS iPhone iPad

Campaña de phishing a usuarios de Apple Pay

Apple Pay y una nueva estafa de phishing: cómo funciona y cómo protegerte

En los últimos días se ha detectado una campaña sofisticada de phishing dirigida a usuarios de Apple Pay, diseñada específicamente para engañar a las víctimas mediante correos electrónicos falsos y llamadas telefónicas que aparentan ser del soporte oficial de Apple. El objetivo de los atacantes es robar datos de pago y credenciales, incluyendo códigos de autenticación en dos pasos (2FA), utilizando ingeniería social y tácticas convincentes que explotan la confianza de los usuarios en la marca.

Cómo opera esta estafa

La estafa comienza con un correo electrónico cuidadosamente elaborado que simula provenir de Apple. El mensaje suele incluir:

  • Logotipo y formato visual casi idénticos a los de Apple.
  • Un asunto alarmante indicando que se ha bloqueado una transacción con Apple Pay o que existe actividad sospechosa en la cuenta.
  • Una identificación de caso o “case ID” y detalles de supuestas transacciones fraudulentas, generando urgencia en el receptor.
  • Una instrucción para llamar a un número de teléfono facilitado en el correo si no reconoces la actividad.

Si la víctima llama al número, en realidad está conectándose con un operador fraudulento que se hace pasar por soporte de Apple. Estos supuestos agentes son capaces de sostener conversaciones creíbles y utilizan un guion para ganarse la confianza del usuario.

Durante la llamada, los estafadores suelen:

  1. Pedir confirmación de datos básicos como nombre, teléfono o dispositivos asociados.
  2. Inducir al usuario a proporcionar su correo Apple ID y códigos de autenticación enviados por SMS.
  3. A partir de ese momento, los atacantes pueden acceder a la cuenta Apple ID en tiempo real, aprovechando que la víctima les ha suministrado sus propios códigos de seguridad.

Este método de ataque aprovecha precisamente la verificación en dos pasos, una medida de seguridad que en condiciones normales protege las cuentas, pero que en esta estafa es manipulada por los criminales al generar las solicitudes de códigos de forma simultánea.

Por qué es peligrosa

La combinación de correos electrónicos altamente realistas con llamadas telefónicas “vishing” (phishing por voz) hace que muchas personas puedan caer en la trampa fácilmente. Los correos contienen detalles realistas, como supuestos cargos grandes o programaciones de “citas” con soporte, lo que presiona psicológicamente a actuar con rapidez sin verificar la autenticidad del mensaje.

Además, los estafadores no solo buscan acceder al Apple ID: también pueden obtener datos financieros vinculados a Apple Pay, números de tarjetas o incluso iniciar transacciones fraudulentas si logran el control total de la cuenta.

Señales típicas de una estafa de este tipo

Aunque estos correos y llamadas son cada vez más sofisticados, existen varios indicios que pueden ayudarte a distinguir un intento de fraude:

  • El correo proviene de un dominio que no pertenece a Apple (aunque esté disfrazado visualmente).
  • Se pide que llames a un número que no coincide con los canales oficiales de soporte de Apple.
  • Hay presión para actuar «inmediatamente» bajo la amenaza de consecuencias graves si no lo haces.
  • Se solicitan códigos de verificación o contraseñas por teléfono o email.
  • El estilo del mensaje contiene un tono urgentista que no es común en comunicaciones rutinarias de Apple.

Qué hacer si recibes un mensaje sospechoso

Para protegerte eficazmente, sigue estas recomendaciones:

  1. No llames a números que vengan en correos sospechosos. Si necesitas soporte, usa los canales oficiales de Apple desde tu dispositivo o sitio web.
  2. No compartas tus códigos de verificación ni contraseñas con nadie. Apple nunca te pedirá información sensible por teléfono o email sin que tú lo hayas iniciado por un canal seguro.
  3. Verifica cualquier actividad directamente desde tu dispositivo. Revisa el historial de Apple Pay o tu Apple ID en los ajustes oficiales antes de creer en alertas enviadas por terceros.
  4. Ignora correos que generen urgencia sin razón clara. Cuando un mensaje busca provocar una reacción emocional rápida, suele ser una señal de fraude.
  5. Marca como spam o elimina correos sospechosos. Muchos navegadores y servicios de correo permiten reportar intentos de phishing para mejorar la protección colectiva.

Si ya has sido víctima

Si por error has proporcionado tus datos o códigos a un estafador, actúa de inmediato:

  • Cambia tu contraseña de Apple ID desde un dispositivo seguro.
  • Verifica y cierra sesiones abiertas en otros dispositivos desde la configuración de tu cuenta.
  • Cambia las contraseñas de tus servicios financieros y contacta con tu banco para alertar sobre posibles fraudes.
  • Activa métodos de seguridad adicionales, como claves de seguridad físicas (FIDO2) si tu dispositivo y servicios lo permiten.

Conclusión

Las campañas de phishing evolucionan constantemente y aprovechan tanto la confianza en marcas como Apple como las reacciones impulsivas de los usuarios. Este reciente ataque dirigido a usuarios de Apple Pay demuestra que incluso las más avanzadas medidas de seguridad pueden ser vulneradas si los usuarios revelan inadvertidamente sus datos. Estar informado, mantener la calma y verificar siempre las comunicaciones por canales oficiales son las mejores defensas ante este tipo de fraudes. (Malwarebytes).

Apple Ciberseguridad