La app Contraseñas fue vulnerable a ataques durante varios meses, pero Apple lo solucionó con la actualización a iOS 18.2

De acuerdo con una investigación hecha por Mysk, se descubrió que la app de Contraseñas fue vulnerable durante los meses previos a la salida de iOS 18.2. Esto se debe a que un grave error del protocolo HTTP pudo someter a los usuarios a ataques de phishing. El ejemplo que nos muestran los investigadores de seguridad es muy simple pero efectivo, cualquier actor que pudiera infiltrarse en un cambio de contraseña podía colocar una página falsa en lugar de una verídica y real.

La app Contraseñas de Apple operó de forma insegura previo a iOS 18.2

El Llavero era la forma ideal de Apple antes de iOS 18 para gestionar contraseñas. Algunos usuarios prefirieron nunca confiar en ella, algunos otros sí aunque esto cambió con la app de Contraseñas. La app es buena en su aspecto principal que es guardar toda clase de contraseñas de los servicios con los que contamos en la web y de las apps de nuestro iPhone. Es posible migrar de un servicio como 1Password o LastPass a Contraseñas de Apple.

Con lo que jamás esperábamos contar es con una cierta dosis de inseguridad debido a que la app tenía una vulnerabilidad que exponía a los usuarios a ataques mediante phishing. Tal cual lo demuestran en este vídeo, cualquier usuario al momento de solicitar un cambio de contraseña podía ser víctima al ingresar a una página con protocolo HTTP.

🚨 Apple's Passwords app was vulnerable to phishing attacks in iOS versions prior to 18.2. Its functionality to change a password from within the app used to open an account's website via insecure HTTP by default. This allowed an attacker with privileged network access to easily… pic.twitter.com/VrqFWSk4z1

— Mysk 🇨🇦🇩🇪 (@mysk_co) March 18, 2025

Se pudo conocer que la app de Contraseñas contactó con 130 sitios web diferentes mediante el protocolo inseguro de HTTP. Esto generó incertidumbre en la firma de investigación, por lo que se propusieron llegar al fondo del asunto. La app de Contraseñas obtiene logotipos, iconos y cualquier gráfico y texto relacionado a un servicio y lo peor es que en cualquier caso de restablecimiento de contraseña el protocolo jamás fue cifrado.

Es algo normal que un sitio web en la actualidad permita HTTP aunque se redirigen en automático a HTTPS debido a la redirección 301. El problema radica cuando existen atacantes conectados a una red en donde los usuarios conviven diariamente. Cualquiera con acceso podría interceptar esa conexión HTTP antes de ser redirigida.

Apple solucionó el problema de forma discreta en diciembre de 2024

La app Contraseñas apuesta por un diseño ya conocido

Los de Cupertino no revelaron esta información hasta hace dos días cuando revelan el origen del hallazgo con Talal Haj Bakry y Tommy Mysk de la firma de seguridad con el mismo nombre. Por lo que si estás utilizando constantemente la app de Contraseñas y aún no has actualizado a la última versión de iOS 18 disponible, deberías hacerlo de inmediato.

Ahora la app de Contraseñas utiliza el protocolo HTTPS por defecto en todas las conexiones. Si realizas alguna actividad de restablecimiento de contraseña ya no existe peligro alguno de que suceda lo que se mostró en el vídeo de Mysk. Deseamos que no hayas sido víctima de este tipo de phishing, es algo que pasó totalmente desapercibido para todos.

Puedes seguir a iPadizate en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.