El nuevo método de estafa que están utilizando los hackers para hacerse pasar por empleados de Apple es una de las amenazas más sofisticadas y preocupantes para quienes disfrutan del ecosistema de la marca.

Esta técnica mezcla la ingeniería social clásica con recursos legítimos que solo Apple debería usar, logrando así que muchas víctimas bajen la guardia y terminen facilitando el acceso a su cuenta de iCloud y a todos sus dispositivos vinculados.

El nuevo fraude a usuarios de Apple: así operan los hackers

La estafa comienza con un mensaje de texto inesperado que simula ser una alerta legítima de Apple, advirtiendo al usuario sobre un intento de ingreso a su cuenta y mostrando un código de autenticación de dos factores (2FA). Habitualmente, recibir estas notificaciones implica que alguien intenta acceder desde un dispositivo desconocido, por lo que la víctima se asusta y cree que hay una verdadera amenaza en juego.

Lo peligroso es que, minutos más tarde, la persona recibe una llamada automática desde un número gratuito, supuestamente del “sistema oficial” de Apple. Con voz profesional y sin apuro, el estafador anuncia el código de seguridad que acaba de llegar y pide que el usuario lo comparta para “verificar” que es el titular legítimo. El ataque está diseñado para crear una atmósfera de urgencia y cierto pánico, haciendo que el usuario perciba un intento real de acceso no autorizado y, en medio de esa preocupación, quiera colaborar para evitar el robo de su cuenta.

Lo realmente sofisticado de este nuevo fraude es que los atacantes pueden crear tickets reales en el sistema de soporte de Apple utilizando la dirección de email de la víctima. Esto genera correos auténticos—desde dominios oficiales de Apple—que llegan al usuario y elevan la sensación de legitimidad de toda la maniobra. Al recibir mensajes “genuinos” en su bandeja de entrada y una llamada que respalda el proceso con información aparentemente confiable, muchos bajan la guardia y caen en la trampa.

¿Por qué es tan peligrosa esta nueva estafa?

El objetivo de los hackers va mucho más allá de conseguir una sola contraseña o acceso puntual. Si logran obtener el código de autenticación o la clave principal, pueden tomar control total de la cuenta de Apple del usuario, incluyendo iCloud, el correo electrónico, fotografías, contactos, documentos y, por supuesto, todos los dispositivos físicos ligados a la misma. Esto permite no solo el robo de identidad digital, sino también la extorsión, el secuestro de información personal y la venta de datos en mercados ilegales.

Lo más alarmante es que la vulnerabilidad se encuentra en el propio sistema de soporte de Apple: cualquier persona puede abrir un ticket usando la dirección de correo de otro usuario y enviar mensajes legítimos sin verificación previa. Así, el usuario recibe comunicaciones originales desde los servidores oficiales de la compañía, lo que hace casi imposible distinguir la estafa de una situación real.

A esto se suma el uso de sitios web para phishing que utilizan dominios engañosos pero convincentes, como “appeal-apple.com”, y desplegando certificados SSL y candados de seguridad para aparentar ser opciones seguras ante quienes no verifican en detalle la dirección. Esta combinación de recursos hace que la atmósfera creada por los delincuentes sea especialmente creíble y difícil de detectar.

Recomendaciones para evitar caer en el fraude

Ante la sofisticación de este tipo de estafas, las recomendaciones principales se basan en el sentido común y la precaución digital. Jamás se debe compartir códigos de autenticación de dos factores ni “códigos de confirmación” por teléfono o links enviados por terceros, sin importar cuán legítima parezca la comunicación. Ningún empleado real de Apple, ni de ninguna otra compañía, solicitará esa información al usuario como parte de un proceso estándar de soporte.

Siempre que se reciba una llamada inesperada—por más profesional que suene—lo más prudente es cortar y contactar directamente a Apple utilizando los números oficiales del sitio web de la empresa. Si llega una comunicación con pedidos de datos sensibles, hay que desconfiar y verificar la autenticidad antes de proceder. Por último, nunca olvides revisar con atención el dominio de cualquier página visitada para solucionar problemas técnicos: debe ser exclusivamente apple.com, sin variantes ni agregados. La presencia de un candado de seguridad, el protocolo HTTPS o certificados SSL no garantizan la legitimidad del sitio.

Las campañas de phishing evolucionan todo el tiempo y, en este caso, el ataque es especialmente peligroso porque se apoya en recursos auténticos y fórmulas de comunicación legítimas, logrando que muchos usuarios bajen la guardia y terminen siendo víctimas. La clave para estar seguro está en desconfiar, validar directamente con Apple y nunca, bajo ningún concepto, compartir tus códigos de autenticación ni claves privadas.

Sigue leyendo:

• Filtradas 184 millones de contraseñas: ¿estás en la lista de los usuarios afectados?

• Hackeo sin precedentes: tus cuentas de Apple, Google y Facebook podrían estar comprometidas

• Apple logró una importante victoria y no tendrá que violar la privacidad de sus usuarios