Cómo me robaron el iPhone por partida doble

1 Ago 2018

Lugar: Moscú, Rusia. Hora: a los cinco minutos de arrancar el partido de Rusia contra España en el Mundial. Situación: Acababa de entrar a un bar para animar a los chicos cuando me robaron el iPhone.

Esta historia no hubiera dado para una publicación de no ser por los ingeniosos trucos que utilizaron los estafadores para robar el iPhone.

A continuación, les contamos cómo se desarrolló:

  • 5:00: Arranca el partido.
  • 5:01: Entro a un bar lleno de gente en pleno centro de Moscú en busca de un lugar libre, todo el rato con el iPhone en la mano, de hecho, acababa de escribir a una amiga para decirle dónde podía encontrarme.
  • 5:07: Mi novio me pide que llame a mi amiga y ahí es cuando me doy cuenta de que mi teléfono no está.

Mi primera reacción fue llamarme desde otro dispositivo. No hubo suerte, el tono se cortó a los pocos segundos. Fue ahí cuando me di cuenta de que no había perdido el iPhone, me lo habían robado. ¿Cómo es posible? Juraría que lo tuve en la mano todo el tiempo, pero puede que me lo metiera al bolsillo inconscientemente durante un par de minutos. Después, fui directa a hablar con el policía de guardia en el bar y entonces caí: la aplicación Buscar mi iPhone, solo necesitaba activar el modo Perdido y rastrear el dispositivo.

Si alguien te roba un iPhone bloqueado con un código, lo único que pueden hacer es pedir un rescate o venderlo por partes. Para revender el iPhone como una unidad, debe de estar desbloqueado. En el caso de mi iPhone X, necesitarían o mi cara o mi código. Además, después de varios intentos de desbloqueo sin éxito, el iPhone se bloquea durante una hora y, tras unos cuantos más, se convierte en una calabaza, al más puro estilo Cenicienta. Así es como Apple ejerce su seguridad.

Si te roban o pierdes el iPhone, la aplicación Buscar mi iPhone te ayuda a recuperarlo, además, es muy útil, porque puedes utilizarla para bloquear el dispositivo y activar el modo Perdido con el mensaje: Este iPhone se ha perdido, por favor contacta con (número de teléfono). Y no solo eso, podrás encontrar el teléfono en un mapa (si no lo han apagado). Así que utilizamos la aplicación, ¿y si el atacante quería liberar el teléfono o era tan estúpido como para dejarlo encendido?

Phishing psicológico

Entonces la cosa se puso interesante. Una hora después, el número especificado en la pantalla de bloqueo del modo Perdido recibió el siguiente mensaje:

Notificación de Buscar mi teléfono, iCloud: Tu iPhone X 64 GB Space Gray ha sido localizado el 1 de julio del 2018 a las 17:54. El número de la tarjeta SIM ha sido identificado. Accede al siguiente enlace para ver la geolocalización del iPhone. La información más reciente de tu iPhone y del propietario de la tarjeta SIM instalada estará disponible en 24 horas. Copyright 2018 Apple Inc.

 

Vamos a profundizar en el tema. ¿No te suena nada raro? Debería; la URL del sitio no es la oficial, las empresas no suelen mencionar el copyright en un SMS y, piénsalo bien, ¿por qué iba a mandar Apple un mensaje de texto en vez de una notificación en la aplicación Buscar mi iPhone? En otras palabras, nos encontramos ante un caso de phishing muy bien elaborado. Los ciberdelincuentes saben perfectamente lo que están haciendo: el mensaje se envía justo cuando la víctima intenta recuperar de forma desesperada su dispositivo y, por tanto, se encuentra en condiciones de estrés y psicológicamente vulnerable.

Lo admito, así me sentía yo. Sí, trabajo en Kaspersky Lab y los incidentes phishing forman parte de mi rutina. Sí, escribo todos los días sobre los últimos trucos y estafas. Pero en ese momento de pánico me agarraba a cualquier oportunidad de conseguir mi teléfono, sin pensar en lo que estaba haciendo. Cuando el desafortunado SMS llegó al móvil de mi novio (él era el número de contacto), estábamos en comisaría, ya había rellenado la denuncia y la policía estaba dispuesta a ayudarme. Si pudiera darles información sobre el paradero de mi teléfono, aumentarían nuestras posibilidades de recuperarlo.

Así que accedí al enlace sin pensarlo, me resultó familiar la interfaz de iCloud e introduje mi nombre de usuario y contraseña. Con el primer intento saltó un mensaje de contraseña incorrecta, lo intenté otra vez y nada. Me sabía la contraseña de memoria, era imposible que me equivocara dos veces.

Volví a la aplicación Buscar mi iPhone, accedí a mi cuenta sin problemas y mi teléfono no estaba allí. Había desaparecido del mapa y de la lista de dispositivos. Entonces volví al mensaje y me di cuenta de lo que había pasado.

El SMS phishing me dirigió a un sitio iCloud falso donde entregué mis credenciales a los ciberdelincuentes. Con esta información, desactivaron de inmediato la función de búsqueda de mi dispositivo. A través de iCloud también podían borrar toda la información almacenada (todo lo que necesitaban era la contraseña y el nombre de usuario de iCloud y yo acababa de dárselo). Después de restaurarlo, tendrían un iPhone X prácticamente limpio con un nuevo código que podrían vender por una buena suma.

Cambié mi contraseña de iCloud de inmediato, claro está, pero era demasiado tarde. Había perdido mi teléfono y la esperanza de recuperarlo. Según la asistencia de Apple, la aplicación Buscar mi iPhone es la única forma de rastrear un dispositivo perdido y la mía estaba desactivada, nunca recuperaría mi iPhone.

¿Qué podría haberme salvado?

  • Obviamente, si no hubiera clicado en el enlace phishing ni introducido mis credenciales, la estrategia no hubiera funcionado. Pero, como muestra mi historia, nadie es inmune: conozco todos los tipos de fraude y, aun así, mordí el anzuelo.
  • Una autentificación de dos factores para iCloud me habría salvado de caer en las garras del phishing. Sí, los estafadores tendrían mi nombre de usuario y contraseña, pero no podrían haberlos usado, necesitarían otro de mis dispositivos para recibir el código de autentificación. La moraleja de esta historia es que actives la autentificación de dos factores siempre que puedas.