Apple toma medidas contra el SPAM de calendario

Hace no mucho, se inició un ataque masivo de SPAM a través de invitaciones de eventos del calendario. Todo aquel con una cuenta iCloud podía recibir un evento en su calendario con la finalidad de que comprase algún artilugio.

Apple ya se ha disculpado públicamente, y ha afirmado estar tomando medidas contra este ataque.

Los atacantes, básicamente, tenían una o varias listas con posibles cuentas de Apple, y enviaban eventos a todas esas cuentas y esperaban a ver qué pasaba.

Si aceptabas o rechazabas el evento, ellos podrían saber si la cuenta estaba activa, y si comprabas algo, eso que se llevaban.

Por ello Apple se ha disculpado públicamente, como nos cuentan en iMore:

Sentimos mucho que algunos usuarios hayan recibido invitaciones a eventos con SPAM. Estamos trabajando mucho para solucionar el problema identificando y bloqueando a las personas sospechosas y las invitaciones que contienen SPAM.

El ataque saltó antes del Black Friday, de modo que hace tiempo que se sabe, pero he preferido esperar a ver las reacciones oficiales para ver cómo se desarrollaban los acontecimientos y reflexionar un poco más sobre ello.

Tal y como dicen, están trabajando en ello, cosa que está bien. Pero a mí me gustaría ir un poco más allá y pedir un sistema razonable de reporte.

Todos hemos visto como otros servicios tienen reportes por SPAM accesibles y útiles que protegen al usuario final. Twitter, Facebook, Telegram, WhatsApp, YouTube, Instagram… son algunos ejemplos de grandes redes en las que el SPAM está a la orden del día, pero es posible combatirlo.

A mí me gustaría ver algo similar en el calendario de Apple, que además no comprometa al usuario final.

¿Por qué digo esto? Porque si habéis aceptado o rechazado algún evento, los atacantes han podido saber que vuestra cuenta está activa. Gracias a eso, han podido realizar otra lista mucho más precisa en la que saben de primera mano qué cuentas funcionan y cuáles no.

Esto es un peligro porque, tal y como nos cuenta Carlos Burges de Faq-Mac, con esa lista pueden perpretar ataques masivos si en el futuro sale a la luz una vulnerabilidad en los sistemas de Apple.

Y no quiero ser alarmista, pero tampoco quiero que por ese hecho demos poca importancia a este problema. Nuestra cuenta de Apple tiene información personal y bancaria, así que qué menos que protegerla.

No se necesita mucho realmente, un reporte por SPAM que oculte al emisor del evento si el usuario ha reportado dicho evento. Algo tan sencillo como eso bastaría.

Sí, no tiene sentido incluir reportes por SPAM en el calendario, pero en vista de que la plataforma se puede usar para tal finalidad, no es tan mala idea.

Lo que he podido observar estos días es que el ataque parece no ir a más, cosa que está muy bien. Ahora solo me preocupa la información que los atacantes han recabado si han sido lo suficientemente listos para captarla.

Veremos el día de mañana si Apple da alguna herramienta al usuario o por otro lado lo trata de manera interna, como ya ha hecho ahora.