11 de la noche en una calle tranquila de una de las colonias bien conocidas de CDMX por su vida nocturna y su fama de ser habitada por personas de clase alta. Alex camina por la calle escuchando música en sus audífonos, saca su iPhone para corroborar una notificación ignorada de la que acaba de acordarse, pero, a la par, desde una esquina un hombre se asoma con pistola por delante.
"¡Dame el celular!", le grita.
Alex no lo piensa dos veces. Entrega el smartphone y, para su sorpresa, no le son pedidos ni los audífonos, ni la cartera. Alex queda helado pero, tan pronto como comenzó, el asalto ha terminado.
Cuando Alex llega a su casa lo primero que hace es corroborar la localización de su iPhone 13 Pro. El dispositivo va y viene por varias colonias de la Ciudad de México durante las próximas 48 horas. Luego, al tercer día, el dispositivo aparece en Jalisco y Alex recibe un mensaje de WhatsApp inesperado.
"Hola, encontré tu celular"
De escritura cordial y tono amable, una persona desconocida le escribe a Alex diciéndole que se ha encontrado con su teléfono. Alex, que ha recibido el mensaje de WhatsApp a través de la vinculación con la app instalada en su Macbook, encuentra de lo más sospechoso el acercamiento, así que procede con cautela.
El nuevo contacto tiene todo para parecer fiable. Dice tener el iPhone y querer devolverlo, pero también dice que debe estar seguro de que Alex es el auténtico propietario, para lo que pide que identifique a través de Find my iPhone la localización del dispositivo. Solo hay un detalle: al hacer la petición, la persona envía un mensaje con la página para que Alex acceda, pero la URL no corresponde a iCloud.
Además de tener otras modificaciones discretas, en la URL se puede leer "lcloud", con "l" minúscula al comenzar la palabra. Sin duda es una forma de phishing y quien contacta a Alex debe estar asociado a quien le robó en primer lugar. Ellos están detrás de sus credenciales de iCloud para reiniciar el dispositivo de forma segura y luego poder usarle y probablemente venderlo sin preocupación alguna.
El modus operandi es ligeramente distinto al reportado por Kaspersky hace un par de años. En aquel entonces, en el blog se documentaron casos de contactos a personas cuyos iPhone fueron robados, pero, a diferencia de en esta ocasión, la táctica de ingeniería social implicaba que los delincuentes se hicieran pasar por un servicio de soporte de Apple. Para ello enviaban mensajes SMS con una URL para que, tras dar clic en ella, el usuario introdujese su usuario y contraseña.
Phishing con ingeniería social
En este caso la estrategia es distinta y pasa por simular una situación en la que un buen samaritano intenta devolver un smartphone. ¿Quién sospecharía de un intento de devolución de un objeto perdido, especialmente en México donde no es difícil encontrar intentos en redes sociales por encontrar al propietario de un bien perdido?
La anécdota de robo no es distinta a la de muchas personas, especialmente en un México donde hay un robo en vía pública dada ocho minutos, según Tresearch. Solo en 2017 fueron robados más de 900,000 celulares, según la Asociación Nacional de Telecomunicaciones, de los cuales apenas el 3% se denuncia, según el Consejo Ciudadano de Seguridad y Justicia. Si el robo de smartphones es una cifra negra, todavía en peor condiciones debe estar la extorsión para conseguir las credenciales de los smartphones robados, particularmente de los iPhone.
Alex deja de responder en el mensaje que recibe la URL. Poco después, yo mismo he ingresado a la URL que se le ha enviado, de la que se obtiene una página falsa de acceso a iCloud. En los cajones de credenciales ingreso un correo sin utilizar y una contraseña falsa para luego corroborar, sin sorpresa, que la página ha desaparecido.
El teléfono es el segundo artículo más robado durante los asaltos, según la Encuesta Nacional de Victimización y Percepción sobre Seguridad Pública del INEGI, solo después de dinero y tarjetas de crédito. Algunas medidas se han tomado, como la prohibición de venta de celulares en tianguis, la campaña masiva de bloqueo de celulares robados en CDMX, y el endurecimiento de penas para el robo de celular para ser de hasta seis años.
Alex no denunciará porque sus asaltantes saben su número telefónico y teme que se enteren si acude a levantar un acta.
Ver 5 comentarios