Contraseñas tuvo un fallo de seguridad grave y Apple lo ha corregido

La aplicación Contraseñas, que Apple introdujo para simplificar la gestión de credenciales en sus dispositivos, ha sido el centro de una reciente polémica tras descubrirse una grave vulnerabilidad.

Investigadores de la firma de ciberseguridad Mysk encontraron que la herramienta expuso a miles de usuarios a posibles ataques de phishing debido a su uso de conexiones HTTP sin cifrar. Para conocer más sobre cómo evitar ser víctima de estas amenazas, puedes leer sobre cómo Apple nos ayuda a identificar sus correos legítimos y evitar el phishing.

Esta brecha de seguridad habría estado en funcionamiento durante varios meses, permitiendo a los atacantes con acceso a la red interceptar y modificar las solicitudes de restablecimiento de contraseñas. Esto significa que, bajo determinadas condiciones, un usuario podría haber sido redirigido sin darse cuenta a una página falsa diseñada para robar sus credenciales.

Cómo funcionaba el ataque de phishing

Según el análisis de los expertos de Mysk, el problema radicaba en que la aplicación solicitaba información sobre los servicios almacenados sin garantizar una conexión segura. En términos simples, cualquier atacante conectado a la misma red Wi-Fi podía interceptar el tráfico e insertar una página fraudulenta en lugar del sitio legítimo. Este tipo de ataques es frecuente, como se menciona en el contexto de los usuarios de iPhone que están siendo objeto de phishing masivo.

Este ataque podría haberse ejecutado de manera sencilla en redes públicas, como las de cafeterías o aeropuertos, donde los delincuentes cibernéticos suelen acechar a las víctimas más desprevenidas. Una vez que el usuario ingresaba sus datos en la página falsa, la información quedaba en manos del atacante, quien podía utilizarla para acceder ilegalmente a sus cuentas.

Apple reacciona con una solución en iOS 18.2

Aunque el problema salió a la luz recientemente, Apple corrigió la vulnerabilidad en diciembre con la actualización iOS 18.2. La solución implementada fue la adopción obligatoria del protocolo HTTPS en las conexiones de la aplicación, lo que impide que los atacantes exploten la brecha de seguridad. Sin embargo, es importante recordar que la seguridad en línea requiere también buenas prácticas, como se puede leer en consejos sobre seguridad para tu iPhone.

Sin embargo, el hecho de que esta vulnerabilidad haya existido durante tanto tiempo sin ser detectada plantea dudas sobre los controles de seguridad de Apple en sus nuevas aplicaciones. La compañía no informó públicamente sobre el problema hasta que los investigadores lo señalaron, lo que ha generado preocupación entre los usuarios y expertos en ciberseguridad.

Los riesgos de confiar ciegamente en los gestores de contraseñas

Este tipo de fallos pone en duda la confiabilidad de los gestores de contraseñas integrados en los sistemas operativos. Aunque herramientas como la app Contraseñas de Apple ofrecen comodidad y mayor seguridad en muchos aspectos, ninguna solución es completamente infalible. La recomendación general sigue siendo contar con autenticación de dos factores (2FA) en todas las cuentas críticas, lo que añade una capa extra de protección en caso de que las credenciales sean comprometidas, especialmente porque es esencial utilizar la autenticación de dos factores para proteger cuentas críticas como iCloud.

Además, es fundamental que los usuarios mantengan actualizados sus dispositivos con las versiones más recientes de iOS, pues muchas de estas vulnerabilidades solo se corrigen con actualizaciones de software. Apple ha reforzado el protocolo de su aplicación, pero quienes no hayan actualizado su sistema operativo aún podrían estar expuestos al problema.

Las filtraciones y brechas de seguridad son una constante en el mundo digital, lo que subraya la necesidad de estar siempre atentos a posibles riesgos. Este incidente con la aplicación de contraseñas de Apple es un recordatorio de que incluso las herramientas más seguras pueden fallar en algún momento. La mejor defensa sigue siendo la combinación de buenas prácticas de ciberseguridad y el uso de tecnologías de protección avanzadas.