Cómo me robaron el iPhone por partida doble, episodio 2

El año pasado hablamos sobre una estrategia de phishing clásica que pretendía desvincular un iPhone robado de la cuenta ID de Apple de la víctima. El objetivo era revender el teléfono como un smartphone completo de segunda mano, lo que resulta mucho más valioso que si lo vendes como piezas de repuesto.

La última vez la suerte estuvo del lado de los estafadores, que consiguieron el nombre de usuario y la contraseña de iCloud que necesitaban. En esta ocasión hemos analizado una estrategia más compleja para extraer los datos confidenciales de las víctimas, incluido su plan B, que tiene como objetivo capturar a todo aquel que consiga esquivar el plan A.

Primer paso: el robo del iPhone

Todo comenzó como suele ser habitual: mi compañera Ana olvidó su teléfono en un banco del parque. Cuando volvió a los 20 minutos, el teléfono ya no estaba. Nadie había visto nada y, cuando llamó al número de teléfono, ya no estaba disponible. Sin dudar, Ana activó el modo Perdido en la aplicación Buscar mi iPhone utilizando el smartphone de un amigo y añadió otro número para que el que lo encontrara pudiera contactar con ella.

Al día siguiente ya no contaba con la esperanza de recibir la llamada de alguien que hubiera encontrado el teléfono que, además, según la información de la aplicación Buscar mi iPhone, seguía desconectado. Por tanto, finalmente, Ana optó por activar la función de borrar el iPhone.

La función “borrar iPhone” está pendiente.

Esta útil función borra todos los datos del teléfono y los inutiliza tan pronto como el dispositivo se conecta a Internet. Pero, al parecer, el ladrón era un hechicero experto en iPhone o, lo que es más probable, contrató a un experto en el arte oscuro de desvincular dispositivos Apple de las cuentas iCloud de sus propietarios. De cualquier manera, una vez perdido, el iPhone no se había vuelto a conectar, por lo que resultaba imposible borrarlo para inutilizarlo.

Aunque el dispositivo estaba protegido con Touch ID, el acceso al wifi y a los datos móviles se puede desactivar sin necesidad de desbloquear el teléfono. Tan solo hay que deslizar el dedo hacia arriba en la pantalla de bloqueo para acceder al Centro de control, desde donde puedes activar el Modo Avión.

Por defecto, el Centro de control está disponible en la pantalla de bloqueo.

Durante los dos días que la tarjeta SIM del teléfono permaneció desbloqueada, los estafadores pudieron utilizarla para averiguar el número de teléfono de Ana. El tercer día, la compañía de teléfono bloqueó la tarjeta de SIM antigua y Ana introdujo una nueva tarjeta SIM, con el mismo número, en su nuevo teléfono.

Segundo paso: un SMS de phishing

El cuarto día, los estafadores intentaron desvincular el iPhone del ID de Apple de Ana para concederle más valor en el mercado. En primer lugar, realizaron una serie de llamadas desde un número de teléfono de Estados Unidos, supuestamente. Todo aquel que respondiera desde el otro extremo, se encontraba con el silencio.

Llamadas de prueba de los estafadores. Sustituir un número es fácil con la telefonía IP.

El propósito de las llamadas era confirmar que se había vuelto a expedir la tarjeta SIM y que el número estaba activo de nuevo. Inmediatamente después de la última llamada, Ana recibió un mensaje de texto que confirmaba que su teléfono se había conectado y que estaba localizado.

Mensaje de phishing que informa de que el iPhone se ha conectado y ha sido localizado.

El mensaje de phishing era muy fiel a la realidad. Para que Ana no sospechara, el mensaje se envió desde un servicio capaz de sustituir a “Apple” como remitente. El enlace de phishing que aparecía en el mensaje también parecía muy creíble. Si se introduce de forma manual, la URL dirige a una página que no existe. Pero, si hacemos clic en el enlace, nos redirige a un sitio de phishing. ¿Dónde está el secreto?

El dominio icloud.co.com existe y pertenece a Apple, pero el enlace del texto enlazaba a icIoud.co.com, que es una “i” mayúscula, no una “l” minúscula. Tras hacer clic, Ana fue redirigida a una página de phishing muy convincente, que le solicitó introducir su ID de Apple y su contraseña para buscar el iPhone perdido. Si echamos un vistazo minucioso a la página, podemos apreciar que la dirección ha cambiado y que, por tanto, no es seguro introducir los datos.

Así se ve la página de phishing en el navegador del móvil.

Resulta curioso que la página difiera en función del dispositivo y navegador. Lo más probable es que los atacantes utilicen este sitio para diferentes estrategias de phishing adaptadas a plataformas diferentes.

La versión escritorio de la misma página de phishing.

Ana no completó el formulario de la página de phishing porque se percató inmediatamente de que el servicio era falso. Además, su teléfono seguía apareciendo como desconectado en la aplicación Buscar mi iPhone, tal y como había aparecido desde el momento robo.

Esto podría haber sido el final, pero sin desvincular el teléfono del ID de Apple de Ana, los ladrones no podrían conseguir tanto dinero de la reventa. Por tanto, continuaron con su plan B.

Tercer paso: una llamada telefónica “amistosa”

Tres horas después de haber enviado el mensaje de phishing y una vez claro que Ana no iba a introducir la información de su cuenta en una página de phishing, recibió una llamada de voz. El cibercriminal se presentó como un empleado de atención al cliente, mencionaron el modelo y color del teléfono y le preguntaron si lo había perdido. Continuó diciendo que el teléfono se encontraba en un centro comercial al otro lado de la ciudad e invitó a Ana a ir y recogerlo.

Con el intento de phishing todavía reciente, Ana formuló una serie de preguntas razonables sobre cómo habían encontrado el teléfono y su número, para evaluar si se trataba de un estafador. El desconocido respondió bruscamente: “Si no necesitas el teléfono, no vengas”.

También añadió que la gente que había llevado el teléfono al centro de atención al cliente parecía sospechosa, por lo que miró en la base de datos y comprobó que aparecía como perdido. La misma base de datos (obviamente mágica) también contenía el número de teléfono de Ana. En resumen, tenía una hora para recoger el teléfono antes de que los que lo habían encontrado volvieran a por él.

Pero, centrémonos en una serie de detalles técnicos. Para saber si se trata de un teléfono perdido, lo primero que hay que hacer es encenderlo. Entonces el teléfono mostrará una notificación sobre la pérdida con un número de teléfono para contactar con el propietario. De esta forma, si alguien intentara contactar con el número de contacto, daría con el número que Ana ha especificado.

Además, durante la conversación con el supuesto servicio de atención al cliente, Ana comprobó si su teléfono se había conectado. Y, viendo que no, informó al cibercriminal, que respondió con astucia que era posible que el teléfono ya se hubiera conectado a otro ID de Apple. De no ser por la presión psicológica y las emociones, hubiese sido el momento perfecto para detectar la estafa. Pero te contamos cómo siguieron los acontecimientos a continuación.

Después, el hombre que se hacía pasar por el servicio de atención al cliente le dijo a Ana que el establecimiento no retendría a otros clientes por ella y que devolverían el teléfono si alguien venía a por él. También pidió a Ana que llamara si no podía presentarse en el centro comercial en una hora. Y entonces llegó el giro inesperado: le pidió que trajera la caja original del teléfono y su identificación. El truco funcionó. Ana, acompañada de unos amigos por razones de seguridad, llamó a un taxi y fue en búsqueda de su teléfono.

De camino, Ana llamó a “atención al cliente” para ver cómo estaba la situación. El hombre le pidió que abriera la aplicación Buscar mi iPhone y la bombardeó con preguntas: qué ves, de qué color es el puntito que aparece junto al icono del teléfono y demás, como si estuviera investigando su caso.

Cuando Ana le dijo que estaba llegando, el hombre le pidió que iniciara sesión en iCloud de nuevo y comprobara si el dispositivo había aparecido y, entonces, le pidió que presionara el botón Eliminar y que le confirmara si el mensaje de advertencia contenía ciertas palabras. Ana presionó el botón y le retrasmitió el mensaje de advertencia. Entonces el hombre afirmó que todo estaba claro: se había desvinculado el teléfono de iCloud y para volver a enlazarlo tendría que confirmar la eliminación, para después volver a conectarlo.

A pesar del estrés de la situación, Ana no lo hizo, ya que recordó que un teléfono no debe desvincularse nunca de la cuenta de su propietario. Por lo que respondió que lo resolvería en el centro.

El estafador volvió a llamar unos minutos después armado con la técnica de ingeniería social más efectiva. Para presionar a la víctima, le dijo que los que habían encontrado el teléfono habían regresado, por lo que tenía que decidir allí mismo si devolverles o no su teléfono.

De fondo se escuchaba el típico ruido de un sitio público, voces que preguntaban “¿Y bien?” y al estafador que pedía “Un segundo, chicos”, mientras seguía insistiendo en que Ana eliminara el teléfono de la nube. Ana contestó que estaba cerca y que había llamado a la policía y estaba de camino. El hombre dijo que le entregaría todas las grabaciones de seguridad, pero que no podía tener a los clientes esperando más tiempo. Les iba a dar el teléfono.

Como era de esperar, cuando Ana llegó al centro comercial, no encontró ningún servicio de atención al cliente. Cuando llegó la policía, los agentes le confirmaron que no existía nada parecido, pero que los estafadores solían dirigir a las víctimas a esa ubicación y le informaron sobre la estrategia habitual que seguían, idéntica a la que intentaron con Ana.

Después de aquello, los estafadores no se volvieron a poner en contacto con ella, pero los mensajes de phishing siguieron llegando unos días después, con la esperanza de que Ana cediera y les diera su contraseña.

Los mensajes de phishing continuaron durante un tiempo.

Finalmente, Ana no consiguió su iPhone, pero tampoco cayó en la trampa de los estafadores. El teléfono robado sigue vinculado a su ID de Apple y con el modo de borrar el iPhone activado, por lo que, una vez conectado, se borraría todo y quedaría inutilizado. Los ladrones tendrán que conformarse con venderlo por piezas.

¿Qué hacer si pierdes tu iPhone o te lo roban?

Para concluir, aquí te dejamos una serie de consejos que debes seguir si pierdes o te roban el iPhone.

• Activa de inmediato el modo Perdido en la aplicación Buscar mi iPhone.
• Contacta con tu operadora para bloquear la tarjeta SIM, sobre todo si no está protegida por código PIN (por defecto, estos códigos están desactivados o son muy simples, como 0000).
• Activa el modo para borrar el iPhone de inmediato si tienes claro que no volverás a ver el teléfono.
• Recuerda que los mensajes SMS e, incluso, las llamadas de voz pueden ser falsas. Si la información que recogen los mensajes no coincide con lo que ves en Buscar mi iPhone, es muy probable que alguien esté intentado tomarte el pelo.
• Busca en tu correo electrónico mensajes auténticos que hayas recibido de Buscar mi iPhone. Si no tienes ninguno, cualquier otro mensaje que recibas sobre tu teléfono podría ser fraudulento.
• No accedas a los enlaces que aparecen en un mensaje de texto, entra en icloud.com de forma manual (y con detenimiento) desde tu navegador y nunca introduzcas tu ID de Apple y contraseña en una página que hayas abierto desde un enlace.
• Mantén la calma. Es muy probable que los estafadores intenten hacerte tomar una decisión precipitada. Es un truco común, no caigas en él.
• Por mucho que insistan los estafadores, no desactives nunca el modo Perdido de la aplicación Buscar mi iPhone.