Investigadores en ciberseguridad detectaron operaciones criminales sofisticadas que usan verdaderas granjas de iPhones para enviar más de 100.000 mensajes de estafa por día a través del sistema iMessage, la plataforma de mensajería encriptada de Apple.
A diferencia de los mensajes de texto tradicionales, estos ataques esquivan las protecciones habituales de las operadoras telefónicas. Aprovechan la confianza que genera iMessage, según publicó el sitio especializado 9to5Mac.
Una granja de iPhones es un conjunto de dispositivos físicos conectados entre sí que funciona como una fábrica de mensajes. Estas operaciones se sirven de Apple IDs temporarios y rotativos para repartir mensajes de phishing a gran escala sin ser detectadas. Cada dispositivo puede mandar miles de mensajes antes de cambiar de identidad. Por eso, a las operadoras móviles les resulta prácticamente imposible bloquear estos ataques.
El phishing profesional
La burbuja azul que aparece en los mensajes de iMessage, la plataforma de mensajería exclusiva de Apple, genera una sensación inmediata de confianza en muchos usuarios. Al usar iMessage en lugar de los mensajes de texto tradicionales, los estafadores esquivan los filtros contra spam y fraudes que aplican las compañías telefónicas.
La mayoría de las personas ya aprendió a desconfiar de los mensajes de texto extraños. Sin embargo, los que parecen llegar desde otro usuario de Apple muchas veces no despiertan ninguna alarma y logran pasar inadvertidos por nuestras defensas más básicas.
Los cerebros criminales detrás de estas maniobras desarrollaron un modelo de negocios nuevo: el Phishing como Servicio, o PhaaS (por sus siglas en inglés). Hoy, los estafadores ni siquiera necesitan conocimientos técnicos para lanzar sus ataques. Hay organizaciones que ofrecen servicios de phishing de la misma manera que otras venden software online. Estas redes criminales entregan toda la infraestructura lista para usar, a cambio de dinero.
La investigación de la firma de seguridad Catalyst revela que estos servicios crearon un mercado criminal totalmente democratizado. Un grupo de Telegram, utilizado para vender estos ataques de Phishing como Servicio, ya superó los 2.000 miembros.
Las barreras técnicas que antes frenaban a los estafadores dejaron de existir. Ahora, cualquiera con intenciones delictivas puede lanzar ataques de escala corporativa, sin necesidad de conocimientos especializados.
El vínculo con China
Una de las plataformas identificadas por los investigadores, llamada Lucid, está manejada por ciberdelincuentes con base en China y apunta a víctimas en 88 países. Esto representa un cambio frente a las actividades criminales oportunistas y marca el paso a operaciones organizadas con escala industrial.
Un grupo conocido como XinXin fue visto vendiendo plantillas de phishing diseñadas para imitar servicios postales, reintegros de impuestos e incluso sistemas de pago de peajes. El nivel de profesionalismo y volumen que manejan transforma lo que antes era un fraude menor en una industria criminal con potencial para mover miles de millones de dólares.
La encriptación, ¿peligro o garantía?
La encriptación de extremo a extremo, una tecnología pensada para proteger las comunicaciones de terceros, se convirtió en un arma de doble filo. Expertos de Catalyst explican que los estafadores están migrando a iMessage justamente porque los mensajes están encriptados. Como las redes no pueden ver el contenido, los mensajes no se bloquean ni se marcan.
Cuando alguien envía un mensaje por iMessage, se encripta en el dispositivo del remitente y solo puede ser desencriptado por el destinatario. Esto impide que tanto Apple como las operadoras puedan ver o filtrar el contenido mientras está en tránsito. Así se genera un canal ideal para las estafas.
Estas organizaciones criminales perfeccionaron sus técnicas con pruebas constantes y análisis de resultados. Entre las estafas más comunes aparecen las falsas deudas por peajes no pagos, reclamos de tarifas de envío para liberar paquetes retenidos en Aduana y advertencias truchas sobre impuestos impagos.
Cada mensaje incluye un enlace a un sitio web que parece legítimo pero es fraudulento, diseñado para robar credenciales o información de pago. Algunos estafadores incluso llegan a diseñar versiones casi idénticas a páginas de servicios reconocidos, como empresas de correo.
Lo que hace a estas estafas tan efectivas es la creación de una urgencia artificial. Nunca hagas clic en estos enlaces de phishing que llegan por mail o mensaje. Si recibís un mensaje que te pide aceptar algo rápido o te obliga a actuar de inmediato para evitar un cargo, es muy probable que sea una estafa.
Cómo protegerte de los ataques PhaaS
A medida que estos ataques se vuelven más sofisticados, la autodefensa digital se vuelve esencial. La principal medida de seguridad contra el phishing es no hacer clic en enlaces que te llegan por mensaje o correo electrónico. Siempre usá tus propios marcadores o escribí manualmente la dirección en el navegador.
Otras estrategias de protección incluyen:
- Verificá canales oficiales: visitá los sitios web oficiales escribiendo la URL o usando su app.
- Activá funciones de seguridad avanzadas: usá autenticación de dos factores en cuentas sensibles.
- Desconfiá de los mensajes urgentes: las organizaciones serias no suelen exigir acciones inmediatas por mensaje.
- Prestá atención al contexto: fijate si hay errores de redacción, saludos genéricos o lenguaje extraño.
Estas granjas de iPhones representan una inversión significativa, a veces de millones de dólares en equipos e infraestructura, lo que sugiere un potencial de ganancia extraordinario. El modelo de suscripción permite a los cibercriminales llevar a cabo estafas masivas, recolectando datos sensibles como números de tarjeta de crédito para cometer fraudes financieros.
Desde el punto de vista económico, el modelo resulta muy rentable para los delincuentes. La suscripción a estos servicios de phishing genera ingresos recurrentes, de forma similar a los modelos de negocios legítimos de software. Esta estabilidad financiera permite mejorar técnicas constantemente y lograr un nivel de operación cada vez más sofisticado.
Apple enfrenta ahora un dilema complejo: cómo mantener sus estándares de encriptación mientras combate este tipo de abusos. Los filtros tradicionales de las operadoras dejan de tener efecto cuando los mensajes viajan exclusivamente por canales encriptados de Apple.
La empresa podría verse obligada a desarrollar sistemas avanzados de detección en el propio dispositivo, que respeten la privacidad pero que puedan identificar patrones de mensajes sospechosos. Este desafío técnico se encuentra en la intersección entre seguridad, privacidad y experiencia del usuario.
Nota publicada en Forbes US.