Si ha iniciado sesión recientemente con su Apple ID y solicitó un código de verificación de segundo factor basado en SMS en lugar de usar el método de dispositivo confiable, es posible que haya notado Apple realizó un cambio en el texto que recibe.
Previamente, Apple envió un mensaje como este:
Su Apple ID El código es 123456. No lo compartas con nadie.
A partir de noviembre de 2021, los códigos aparecen en este formato:
Su Apple ID El código es: 123456. No lo compartas con nadie. @apple.com #123456 %apple.com

¿Por qué el cambio? Apple propuso en agosto de 2020 que admitiría «códigos vinculados al dominio» para los inicios de sesión. Este tipo de código requiere que los sitios hagan una pequeña adición a los mensajes de texto que se usan para los códigos de verificación. El mensaje entrante debe proporcionar un dominio de destino y algunos otros datos. Apple dijo que este cambio mejoraría la integridad de sus sistemas operativos ofreciendo autocompletar el código a través de una sugerencia en la barra QuickType en iOS y iPadOS y un valor desplegable en macOS Safari y otras aplicaciones de macOS que aprovechan esta función.
Apple propuso este cambio como una forma de disuadir el phishing que intenta interceptar y redirigir los códigos de verificación. En la mayoría de los ataques de phishing, la víctima es dirigida a un sitio falso que le pide que ingrese sus credenciales. El sitio toma esas credenciales y las transmite silenciosamente para iniciar sesión en el sitio legítimo.
Pero algunos atacantes son sabios con la autenticación de dos factores. Si el sitio envía un código por SMS como método predeterminado, el usuario que sufre phishing recibe un mensaje de texto con el código. El phisher luego solicita ese código.
iOS, iPadOS y macOS ofrecen completar el código recibido más recientemente a través de SMS a la aplicación Mensajes en cualquier campo con el formato adecuado, incluido el campo de código de verificación de un sitio de phishing. Eso hace que sea demasiado fácil para los estafadores.
Sin embargo, si el mensaje de texto tiene como ámbito Apple sugerido, sistemas operativos a partir de iOS 15iPad OS 15y mac OS 11 Big Sur solo ofrecerá autocompletar en sitios que coincidan con el nombre de dominio. La seguridad no es perfecta, pero es una simple actualización para reforzar las acciones defensivas.
El formato generalmente se ve así:
- Un mensaje estándar legible por humanos, incluido el código, seguido de una nueva línea.
- El dominio con ámbito como @domain.tld.
- El código se repitió nuevamente como #123456.
- Si el sitio utiliza un elemento HTML incrustado, llamado iframe, la fuente del iframe aparece después de %, como %ecommerce.example. (La especificación original especifica @; Apple parece estar usando % para sus textos).
Como usuario, no hay nada que deba hacer. Los códigos SMS continúan autocompletando como se esperaba para los sitios válidos.
Sin embargo, puede ejercer una mayor vigilancia: cuando recibe un código en este formato como mensaje de texto y su aplicación o navegador no ofrece autocompletarlo, podría estar sujeto a una trampa de phishing. Investigue el dominio o la aplicación detenidamente antes de continuar.
Este artículo sobre Mac 911 es una respuesta a una pregunta enviada por Kevin, lector de Macworld.
Hemos compilado una lista de las preguntas que nos hacen con más frecuencia, junto con respuestas y enlaces a columnas: lea nuestras súper preguntas frecuentes para ver si su pregunta está cubierta. Si no, ¡siempre estamos buscando nuevos problemas para resolver! Envíe el suyo por correo electrónico a [email protected], incluyendo capturas de pantalla según corresponda y si desea que se use su nombre completo. No se responderán todas las preguntas, no respondemos a los correos electrónicos y no podemos proporcionar consejos directos para la solución de problemas.