El Instituto Nacional de Cibeseguridad (INCIBE) ha alertado sobre una campaña de correos fraudulentos('phishing') que intenta suplantar a Apple para obtener información personal y bancaria de la víctima, incluido el PIN de la tarjeta de crédito, algo que ni ninguna entidad legítima está autorizada a pedir.

El correo que se hace pasar por Apple advierte al usuario de que los sistemas de esta compañía han sufrido un incidente de seguridad y como consecuencia todos sus usuarios deben validar sus datos cuanto antes, ha informado en un comunicado el centro tecnológico. Y añade que los ciberdelincuentes intentan confundir a la víctima simulando que el origen del correo procede de Apple, aunque el dominio al que apunta no concuerda con el de compañía de manzana.

El asunto detectado en todos los correos maliciosos es "Notificación Urgente-Apple S.A.", aunque cabe la posibilidad que usen otros. El INCIBE precisa que si la víctima cae en el engaño y selecciona el enlace será redirigida a una página que simula ser la legítima de Apple:

El dominio, aunque cuenta con certificado de seguridad, no es de Apple y si se introducen las credenciales de 'iCloud' en el formulario se cargará una nueva web.

En esta nueva página se muestra un formulario en el que se solicitan datos de la tarjeta de crédito así como información personal y si se completa y se seleccionamos el botón 'Sign in' se cargará la siguiente página.

En esta página los ciberdelincuentes solicitan directamente el código PIN de la tarjeta de crédito, algo que Apple ni ninguna entidad legítima está autorizada a pedir.

Si se introduce el numero PIN y se selecciona el botón 'SUBMIT', el usuario será redirigido a una web legítima de Apple pero, llegados a este punto, los ciberdelincuentes ya estarán en posesión tanto de las credenciales de acceso a Apple como de la información personal y bancaria, incluido el código PIN de la tarjeta de crédito.

El centro tecnológico recomienda modificar las contraseñas en caso de haber recibido el correo electrónico anteriormente descrito y contactar con la entidad bancaria si se han introducido datos como el PIN de la tarjeta de crédito.