Nunca le robes el móvil a la novia de un hacker: cómo un experto puso al descubierto una red global de ladrones

El hacker Martín Vigo estaba con su pareja en un concierto en Barcelona cuando a ella le desapareció el móvil. Mandó en seguida un mensaje con el número de Vigo por si alguien lo encontraba. Pero se lo habían robado. Al cabo de dos días, Vigo recibió en su teléfono un sms de “iCloud”, el servicio en la nube de Apple: “Find my ...

El hacker Martín Vigo estaba con su pareja en un concierto en Barcelona cuando a ella le desapareció el móvil. Mandó en seguida un mensaje con el número de Vigo por si alguien lo encontraba. Pero se lo habían robado. Al cabo de dos días, Vigo recibió en su teléfono un sms de “iCloud”, el servicio en la nube de Apple: “Find my iphone 13 mini ha sido conectado a internet y localizado hoy. Última ubicación”, y ahí aparecía un link a una dirección rara: apple(.)device-maps.net. “El sms apestaba por todos lados: faltas, dominio sospechoso y icloud”, dice Vigo.

Pero como hacker, y con su pareja sin móvil, Vigo no iba a dejar pasar ese mensaje sin más. Su investigación de semanas coincidió con una enorme operación policial de dos años entre 2022 y 2024 en seis países donde se detuvieron a 17 personas: España, Argentina, Colombia, Chile, Ecuador y Perú. La magnitud de la acción aclara por qué, a pesar de las mejoras en seguridad, el robo de móviles sigue siendo rentable: “Tenían montado un sistema para robar móviles, mandarlos al extranjero, tratar de desbloquearlos para robar todo el dinero posible y si no lo lograban, retocarlos y revenderlos. Querían aprovecharlo todo, como con los cerdos”, explica Vigo, que ha preparado una larga presentación de su caso que ha contado en un par de conferencias antes del verano.

Aunque una estadística repetida en medios dice que en España se roban 250.000 móviles al año, en realidad son la mitad, según los datos de Interior: 120.510 en 2024. En 2019 eran más de 162.000, pero con la pandemia bajó mucho. Aunque no ha remontado hasta cifras prepandémicas, sigue siendo un objeto muy valorado por todo lo que se puede obtener. Los titulares en medios alertan sin parar de robos y operaciones que descubren fragmentos de redes globales por donde circulan los móviles robados: “Cae en Barcelona un hub internacional de reventa de móviles robados” o “Brasil sufre una epidemia de robo de celulares y ciberfraudes”.

1. El robo

El caso de Vigo es solo uno más. Pero su investigación ilumina cómo trabajan los delincuentes. Primero, el robo. Lo ideal es llevarse el teléfono desbloqueado. Pero es extremadamente difícil porque hay que robarlo mientras el usuario lo tiene en marcha. El móvil hoy tiene acceso a tarjetas, bancos y montones de aplicaciones con nuestros datos guardados.

En el caso de Vigo el móvil estaba bloqueado y con la función “Buscar mi iPhone” activada. Gracias a un sistema llamado activation lock, eso hace que el ladrón necesite el usuario y contraseña de Apple para acceder al móvil. (En Android hay una función similar llamada Factory Reset Protection). “Las maneras de robar han evolucionado”, dice Vigo. “Ahora con el activation lock hay que conseguir desbloquearlo”.

Aquí empieza la variante en el caso de Vigo. Una vez robado es probable que los envuelvan en papel de aluminio para evitar que el GPS trace el recorrido del móvil. “Luego van a un piso franco, los acumulan y en palés se envían fuera de España, a Marruecos o China”. Ese paso internacional es vital para evitar que, cuando los ladrones intenten usar el móvil de nuevo, acabe bloqueado. Las operadoras de varios países europeos comparten listas de los IMEI (números únicos de cada dispositivo) de dispositivos robados para que no puedan usarse. Pero, por ejemplo, Marruecos no comparte esas listas. Allí el móvil puede volver a conectarse.

2. El desbloqueo

El móvil, en cualquier caso, sigue estando bloqueado. ¿Cómo pretendían los ladrones lograr desbloquear un teléfono como el de la pareja de Vigo? Con cientos o miles de móviles almacenados, ahí empieza otro camino: “Intentan la estafa de lograr el pin”, dice Vigo. ¿Por qué el pin? Porque con el pin se puede llegar a cambiar la contraseña de Apple y acceder al contenido del dispositivo.

La banda había creado un sistema para mandar miles de sms como el que recibió Vigo. Para saber a quién mandar el mensaje con el anzuelo, dice la policía, “la organización realizaba un perfilado social de las víctimas, ya que, en muchas ocasiones, además del terminal también disponían de los efectos personales de la víctima, como su documentación”. Así obtenían los números de teléfono de las víctimas para enviarles el sms malicioso.

Cada sms llevaba un enlace con un identificador único, para cada móvil robado. Al día siguiente del primer mensaje, Vigo recibió otro: “Apple detectamos problemas para localizar su iphone 13 mini ver ubicación actual sin conexión a internet”, decía. Cada víctima recibía un enlace único y el servidor sabía qué víctima hacía clic. Al hacer clic el usuario veía una página en blanco, pero los delincuentes sabía quién había picado. Con el primer clic, los malos redireccionaban al usuario a una web que le diera confianza, como la real de iCloud de Apple.

“Ahí ya te han entrenado a que si recibes un sms diciendo que han encontrado tu móvil, todo está bien. Pero lo que no sabes es que por detrás te acaban de tender la trampa perfecta”, dice Vigo. ¿Por qué? Porque al día siguiente te llega otro sms y clicas más confiado, dispuesto a darlo todo. Pero ese enlace ya no te redirige a la página real de Apple, sino a una copia impecable creada por los criminales: ahí es donde te piden el pin y, sin pensar, lleno de esperanza, lo pones.

Y los ladrones, gracias al identificador en el primer enlace, ya saben quién había robado ese móvil y, por tanto, a qué delincuente debían mandárselo para que accediera. “El pin es más poderoso que tu huella o cara. Con él puedes eliminar la información biométrica de la víctima y añades la tuya para entrar en las apps bancarias que se validan así”, dice Vigo. La cartera de Apple pide reautenticarte y ya es todo accesible.

Este sistema de robo de pins, creado en América Latina, se vendía como un servicio online más. Si tenías unos cientos de móviles robados podías intentar acceder a un puñado para robarles unos cuantos miles de euros. Vigo trató de descubrir quién estaba detrás, pero solo pudo llegar a una supuesta mujer ucraniana que no sabía si había sido otra víctima o era parte de la banda. Sigue sin saberlo.

En la nota de prensa sobre este caso, la Policía explica que la banda habría utilizado un total de 5.300 páginas web falsas y que habían desbloqueado ilegalmente alrededor de 1.300.000 dispositivos de alta gama, unos 30.000 en España.

3. Los retoques

Pero la vida del móvil robado no termina aquí. Es probable que tengan un valor decreciente por su dificultad para ser robados y usados, pero las bandas criminales aún encuentran el modo de sacar mucho dinero.

Si no logran desbloquearlo con el pin, lo envían a China para ser “despedazado y lo mandan a Europa de vuelta para revenderlo”, dice Vigo. “Los dispositivos tienen un valor creciente porque tienen chips más avanzados, cámaras mejores, materiales más caros. Pero las medidas de seguridad son más robustas. Antes al robar un teléfono podías reiniciarlo de fábrica y ya tenías uno nuevo. Ahora con el activation lock y con el IMEI original en Europa es solo un ladrillo, solo sirve para piezas”.

Pero hay ciudades en China donde son capaces de cambiar ese IMEI, dice Vigo. “Es la parte más difícil, cuando llega a China y cambian ciertos componentes y el IMEI. Requiere cierta sofisticación: abrir el móvil, cambiar el chip, tienes que saber qué haces porque Apple detecta si hay componentes no originales”, dice Vigo. El objetivo es poder revender el móvil con un IMEI distinto para que no se pueda trazar el móvil robado.

De todo este proceso, si no fuera por un detalle crucial, las víctimas solo sufrirían el robo de un móvil. “El pin es lo más poderoso, por eso es importantísimo salvaguardarlo y no darlo nunca a nadie”, dice Vigo. “Nunca a nadie. Apple nunca te lo va a pedir. Lo que pide son las credenciales de iCloud”, añade.