Si te roban el móvil, cuidado con usar la opción 'iPhone perdido': pueden estafarte

Caso XXX2. Domingo. Apacible tarde en pareja de compras. Pepe y Ana (nombres ficticios) no se percatan de que unos individuos les acechan. Ambos acuden a la barra de la cafetería a recoger su pedido, se sientan, conversan animadamente mientras degustan su café y, al cabo de unos minutos, se dan cuenta de que el teléfono móvil Iphone 6S Plus de Ana, que estaba encima de la mesa, ha desaparecido. Además de la correspondiente angustia por la pérdida del móvil, ocurrió algo inimaginable, terrorífico y preocupante. Lo peor estaba por llegar.

¿Qué paso después?
Versión de la víctima: Tras interponer la denuncia por hurto, se marcharon a su casa. Desde el móvil de Pepe, accedieron a su cuenta de ICloud, asociada al teléfono sustraído, para activar la opción de ‘Iphone perdido’ disponible para las versiones iOS 6 en adelante. Esta opción les permitió bloquear el Iphone con un código para que otras personas no tuvieran acceso a su información personal. Además ‘IPhone perdido’ te ofrece la posibilidad de que se muestre un mensaje personalizado en la pantalla para que quien lo encuentre tenga la posibilidad de llamar a su propietario (posibilidad remota).

El número de contacto que la pareja designó en la aplicación fue el de Pepe. A los pocos minutos recibió una llamada del número "+190090000" y un SMS informándoles de que su iPhone número de serie XXX había sido localizado (milagro) y para saber dónde ubicarlo el SMS le dirigía al enlace de la web http://apple.iclaimsupport.com/ con esta apariencia.

Pepe hizo lo mismo que harías tú: clicar el enlace e introducir sus datos de identificación. Tiempo más tarde, al comprobar que no recibía ninguna notificación al respecto, volvió a identificarse en su cuenta de ICloud, esta vez desde su propio navegador y en la web https://www.icloud.com/#find y no desde el enlace que había recibido por SMS. Amarga sorpresa la que se encontró cuando al acceder, comprobó que alguien, desde un ordenador MAC, había registrado un inicio de sesión y había eliminado su Iphone 6S Plus de la cuenta de ICloud. Resultado: se quedó sin móvil y sin los datos que incluía.

¿Qué hicieron los ladrones?
La argucia es perfecta. Habían escogido a su víctima por el modelo de Iphone concreto que permitía la opción “Iphone perdido". Una vez sustraído el teléfono, vieron que sus propietarios hacían lo que debían de hacer: activar esa opción. Según lo esperado, el teléfono se bloqueó remotamente (si no lo estaba ya). Pero esa era la “colaboración” que los malos querían y necesitaban de la víctima. Esperaron a que en la pantalla de bloqueo del móvil que habían sustraído apareciera el número de teléfono (previamente configurado en ICloud) de contacto de la víctima tratando desesperadamente de recuperarlo.

Entonces llamaron desde el número "+190090000" diciendo que se había localizado el iPhone y también mandaron el siguiente SMS:

El contenido del mensaje huele a cloaca

A simple vista, y cuando una víctima está desesperada por recuperar su teléfono, puede pasar inadvertido. De hecho, lo hace. Vamos a reproducir el contenido y después a examinar los fallos.

“Estimado cliente Su iPhone 6Plus 16 GB Color Plata Numero serie (omitido) IME (omitido) se ha encontrado en 12 enero de 2016 se puede comprobar la ubicación través de este enlace http://apple.iclaimsupport.com/ y reclamar su móvil. soporte de Apple.

El mensaje tiene bastantes fallos de expresión y ortográficos (de las tildes ya ni hablar):

“Estimado cliente Su iPhone 6Plus 16 GB Color Plata Numero serie XXX  IME(I) XXXX se ha encontrado en (el) 12 enero de 2016.  se Puede comprobar la ubicación (a) través de este enlace http://apple.iclaimsupport.com/ y reclamar su móvil. (S)oporte de Apple.

El número de IMEI lo pueden saber porque figura en la parte posterior del móvil.

La web a la que le redirigían http://apple.iclaimsupport.com/ (ya desactivada) era una simulación de la ICloud (un phishing), de modo que cuando la víctima fue a acceder al portal, introdujo su ID de Apple y contraseña y, sin sospechar, le facilitó sus claves a los malos.

Al poder gestionar tu móvil y sus datos desde el sistema ICloud, si inicias sesión en icloud.com/find (página oficial legítima) es posible borrar el contenido del móvil y la cuenta de los servidores de iCloud, que fue lo que ocurrió. Al eliminar un dispositivo, se elimina de la lista de dispositivos de Buscar mi iPhone y, si tiene iOS 7 o posterior, también se desactiva el Bloqueo de activación y de esta forma puede ser usado por otra persona.

Lo que finalmente hizo la víctima para evitar el uso del móvil fue llamar a su operadora de telefonía para que bloqueara el IMEI del teléfono aunque si está liberado puede resultar un problema ya que las operadoras, al no tener el registro inicial, te dirán que no lo bloquean. No obstante, podrían hacerlo ya que activan la línea que tienes con ellos a través de la tarjeta SIM pero NO hay una normativa que les obligue.

Además, por desgracia, aunque se bloquee, podría seguir siendo útil para su venta. Existe una base de datos común en muchos países del mundo, “Device Check”, donde se incluyen los IMEIS bloqueados para que, si el móvil es vendido en uno de esos países, no pueda conectarse a sus operadores de telefonía. Por desgracia, como siempre, hay países que no colaboran como China, Rusia, o Marruecos y tu móvil sí puede ser vendido allí.

No es objeto de este post pero los malos podrían haber hecho un desfalco considerable a la cuenta bancaria del propietario del móvil. Aparentemente, esa no fue su intención. No obstante, cambia claves y acude a una comisaría a denunciar. Existen indagaciones que podrían llevarnos a dar con los posibles autores del robo. Y, ante todo, mucha calma.

Gracias a Álvaro Díaz @alvarodh5 y administrador del foro @underc0de , futuro ciberpolicía, por contribuir a la existencia de este post.