Una organización con operaciones en Argentina enviaba mensajes de texto con enlaces a quienes habían sido víctimas del robo de su iPhone. Bajo la idea de rastrear el teléfono robado, disfrazaban un link que en realidad era phishing: al tocarlo, engañaba al usuario para entregar sus credenciales para desbloquear el dispositivo para que el ladrón pueda venderlo.
Se trata de una de las mecánicas para poder tener acceso a un teléfono robado: al sustraerlo, los delincuentes tienen el problema de que, sin la clave para desbloquearlo, el dispositivo es tan útil como un ladrillo. La organización había creado un servicio cibercriminal llamado “iServer” que era un sitio que se veía legítimo, pero era robaba datos de acceso.
Apple tiene un sistema que se llama “Activation Lock”, mediante el cual, a través del ID de Apple y la contraseña, el usuario puede bloquear el teléfono a la distancia o incluso borrar todos sus datos. Pero si la víctima entrega su PIN de desbloqueo sin saberlo, le da acceso al delincuente para que pueda destrabarlo.
Durante la semana pasada se dieron a conocer los resultados de una investigación liderada por el juez federal porteño Daniel Rafecas, la fiscal Paloma Ochoa y el titular de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), Horacio Azzolin, que terminó con una banda liderada por un santafesino que operaba en Argentina, Colombia, Perú, Chile, Ecuador y España. Hay al menos 17 detenidos, cinco de ellos, argentinos.
El modelo de negocio: “Crimeware-as-a-service”
Además de las detenciones, confiscaron el dominio de la plataforma de phishing como servicio «iServer». Foto: Captura de pantallaA partir de una investigación de una empresa de ciberseguridad, Group-IB, se llevó a cabo la “Operación Kaerb” (“break”, romper en inglés, al revés). La compañía detectó la plataforma “iServer”, un “phishing-as-a-platform”, o plataforma de phishing para poder contratar por terceros y operar.
“Cybercrime-as-a-Service (CaaS) y Malware-as-a-Service (MaaS) es un modelo de negocio en el que los ciberdelincuentes proporcionan acceso a software malicioso e infraestructura relacionada a cambio de una tarifa. MaaS es una variación maliciosa del modelo de Software-as-a-Service (SaaS). El mercado para MaaS (y CaaS en general) se encuentra típicamente en la dark web”, explicó a Clarín Fabio Assolini, director del Equipo de Investigación para América Latina en Kaspersky.
“Los ciberdelincuentes que proporcionan malware bajo el modelo MaaS son llamados operadores de MaaS. Por lo general, son grupos organizados con roles internos claramente definidos, como desarrolladores de malware, administradores de sistemas, gerentes y soporte técnico. El servicio real proporcionado por los operadores de MaaS a menudo se llama un programa de afiliación, y un cliente que lo utiliza — un afiliado”, agrega.
En este caso, la investigación de Group-IB no habla de “afiliados”, sino de “ladrones poco calificados”.
“Según los investigadores, la plataforma de phishing como servicio iServer, que estuvo activa durante cinco años, se dirigió a más de 1.2 millones de teléfonos móviles y se cobró aproximadamente 483.000 víctimas en todo el mundo. El administrador de la plataforma de phishing iServer, de nacionalidad argentina, también fue detenido durante la operación policial llevada a cabo por varios organismos entre el 10 y el 17 de septiembre de 2024”, explica la investigación de Group-IB.
El gran problema que enfrenta el ladrón de un teléfono hoy es que, para venderlo, necesita desbloquearlo y resetearlo a valores de fábrica. Sin esto, el teléfono no puede ser utilizado por un tercero. Ahí es donde entra este modelo de negocio, que se usa en el underground y provee el servicio de desbloqueo, en este caso por 120 dólares por mes.
“Los desbloqueadores obtienen la información necesaria para desbloquear los teléfonos móviles, como el IMEI, el idioma, los datos del propietario y la información de contacto, a la que suelen acceder a través del modo perdido o mediante plataformas móviles basadas en la nube”, detalló el research.
Destacan la importancia de hacer la denuncia del robo. Foto: ShutterstockComo no pueden destrabarlo porque no saben el PIN, envían un falso enlace a la víctima una vez que esta suplantó la tarjeta y la insertó en otro dispositivo: motivada por encontrar el teléfono robado, la víctima inserta sus credenciales de acceso y le desbloquea el teléfono al delincuente.
“Quien roba un teléfono, o recibe uno robado, en algún momento necesitará desbloquearlo, sea de la forma que sea. Lo que es específico de iPhones es la necesidad de obtener o el PIN o la cuenta de iCloud, y cada dato responde a maniobras distintas”, explicó a Clarín el titular de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), Horacio Azzolin.
“El fenómeno del robo de celulares debería ser entendido en función del negocio que hay detrás: la reinserción del aparato en el mercado y el acceso a los datos que hay en su interior. Para lograr esos objetivos es necesario acceder al teléfono y para eso primero hay que desbloquearlo. Ahí entran en escena las organizaciones que se dedican a eso. Kaerb es una operación que apunta entonces al core del negocio”, agregó el fiscal.
Sobre el operativo, detalló el fiscal: “El trabajo conjunto se aglutinó alrededor de EUROPOL y de AMERIPOL. Esta última agencia fue la que coordinó la información y el trabajo de policías. Dependiendo el sistema procesal de cada país, en algún momento se involucraron las fiscalías. LA UFECI estuvo desde el inicio porque así lo prevé nuestro sistema procesal y porque además el principal sospechoso estaba en Argentina. Lo que hicimos fue trabajar cada país con su caso, pero coordinarnos para allanar al mismo tiempo. La coordinación la proporcionó EUROPOL”, agregó.
Los consejos para no caer en la trampa
SIM card / Tarjeta SIM. Foto: ShutterstockAzzolin remarca que la denuncia, que en la gran cantidad de casos el usuario no hace, es una de las claves para estas operaciones.
“Estas investigaciones requieren probar que hubo víctimas concretas y de ahí la importancia de hacer la denuncia cuando sustraen o se extravía un teléfono celular. En Kaerb tenemos miles de casos de desbloqueos comprobados, pero en muchos de ellos no hay denuncia y eso nos impide encontrar víctimas concretas”, dijo.
Por lo general, los mismos consejos que valen para cualquier phishing son válidos para estos casos, con la diferencia de que en general los teléfonos robados son pensados por el usuario como perdidos.
Desde la fiscalía dieron los siguientes consejos cuando el teléfono se pierde o es robado:
1. Avisar a la empresa de telefonía.
2. Si el teléfono estaba desbloqueado, cambiar claves.
3. Hacer la denuncia policial.
4. Ignorar los mensajes que se reciben como provenientes de Apple y avisar en la comisaría que se recibieron.
5. Si se recibe algún mensaje y se ingresaron credenciales (usuario y contraseña) de iCloud, las cambiarlas lo antes posible.
5. Si con alguna aplicación se localiza localizás el teléfono, avisarle con urgencia a un policía.
Una medida que también se puede mencionar que agrega una capa de protección extra y que casi ningún usuario tiene es un PIN para la tarjeta sim. Esto es muy simple de configurar y al introducirla en otro teléfono, lo solicita el dispositivo: si un cibercriminal se encuentra con esta barrera, seguramente se mueva a otro teléfono para desbloquearlo.
Para más información sobre el PIN en la SIM, clic acá.