Editor de videos popular en TikTok, CapCut, utilizado para engañar a víctimas en una estafa de phishing.

Recientes investigaciones de seguridad han puesto de manifiesto una nueva campaña de phishing que se hace pasar por CapCut, una popular aplicación de edición de video desarrollada por ByteDance. Este ataque busca robar las credenciales de Apple ID de los usuarios mediante correos electrónicos que simulan ser notificaciones relacionadas con una suscripción activa de $50.

El engaño consiste en que los correos falsificados informan a las víctimas sobre una supuesta suscripción a la versión de pago de CapCut. En el mensaje, se ofrece la opción de "cancelar la suscripción" si la activación fue un error. Dado que muchas aplicaciones móviles tienen configuradas sus suscripciones de manera predeterminada, es comprensible que algunos usuarios caigan en esta trampa y se apresuren a cancelar lo que creen que es un cargo no deseado.

Sin embargo, al hacer clic en el enlace proporcionado en el correo, las víctimas son dirigidas a una página de inicio de sesión falsa de Apple, donde se les solicita que ingresen sus credenciales. Una vez que los atacantes obtienen esta información, pueden acceder a datos sensibles, como imágenes y mensajes, e incluso realizar compras, lo que puede resultar en un daño financiero directo para la víctima.

Los expertos de seguridad recomiendan mantener una actitud escéptica frente a los correos entrantes, especialmente aquellos que crean un sentido de urgencia. Esta campaña de phishing resalta la facilidad con la que los atacantes pueden manipular la confianza a través de marcas familiares y urgencias engañosas. La imitación de la identidad de CapCut y Apple, junto con la amenaza de cargos no deseados, facilita a los atacantes llevar a cabo un proceso de robo de credenciales de dos etapas.

Para protegerse, es crucial verificar cuidadosamente los enlaces, cuestionar cualquier solicitud inesperada de información sensible y reportar mensajes sospechosos.