La nueva app Contraseñas de Apple, presentada con iOS 18 como evolución del Llavero, estuvo expuesta a ataques de phishing durante sus primeros tres meses de vida debido a un error crítico: usaba HTTP sin cifrar para descargar iconos y abrir páginas de restablecimiento de contraseñas. Investigadores de Mysk descubrieron que la app contactaba con 130 sitios web mediante conexiones inseguras, permitiendo que atacantes en redes públicas (como wifi de aeropuertos) interceptaran tráfico y redirigieran a páginas falsas.
El riesgo en detalle
- Fallo técnico: Aunque la mayoría de sitios redirigían a HTTPS, la solicitud inicial HTTP era vulnerable a interceptación.
- Demostración de Mysk: Crearon un escenario donde se simulaba un phishing a live.com de Microsoft.
- Apple lo corrigió en iOS 18.2 (diciembre 2023), pero no lo comunicó hasta hace 24 horas.
¿Por qué importa?
- Contradicción en seguridad: Apple promueve privacidad como bandera, pero falló en implementar HTTPS por defecto en una app sensible.
- Lección aprendida: Los usuarios deben actualizar a iOS 18.2+ y evitar redes públicas al gestionar contraseñas.
Un recordatorio de que hasta los gigantes tecnológicos pueden cometer errores críticos. La seguridad requiere transparencia y acción rápida.
