Yahoo Finanzas Confesiones de un ladrón de iPhones: revela cómo su banda ganó US$2 millones con falla de seguridad de Apple
En un buen fin de semana, Aaron Johnson ganaba hasta US$ 20.000 con la venta de iPhones robados, eso sin incluir el dinero que previamente había extraído de sus aplicaciones bancarias. Ahora, desde una cárcel de alta seguridad donde se estima que estará confinado por los próximos 7 años, ha revelado cómo una vulnerabilidad en el software de Apple le consiguió cientos de miles de dólares.
“Ya estoy cumpliendo condena. Simplemente, siento que debería intentar estar en el otro extremo de las cosas y tratar de ayudar a la gente”, dijo Johnson, de 26 años, a The Wall Street Journal, una semana antes de que Apple lanzara su sistema de protección antirrobos Stolen Device Protection.
El nuevo sistema crea una segunda capa de seguridad y dificulta el uso del código de acceso cuando el teléfono no está en una ubicación habitual. Pero para las víctimas de Johnson y su banda compuesta por otras 11 personas ya es demasiado tarde: la policía estima que robaron cerca de US$ 300.000, entre ahorros y dispositivos móviles, mientras que Johnson cree que la suma real alcanzó los US$ 2 millones.
“Ese código de acceso es el diablo”
Johnson operó en la ciudad de Minneapolis durante al menos un año durante 2021 y 2022. En la noche, visitaba los bares y se hacía pasar por un vendedor de drogas o un rapero famoso para que las víctimas lo agregaran a sus contactos. Astutamente, se acercaba a jóvenes alcoholizados, aprendía de memoria sus contraseñas y luego les robaba el teléfono con ayuda de un cómplice.
“Les decía: ‘Oye, tu teléfono está bloqueado, ¿cuál es el código de acceso?’ Ellos me decían el número, y luego simplemente lo recordaba”, contó Johnson desde el Minnesota Correctional Facility. A veces también grababa a las personas mientras escribían sus contraseñas. Una vez que el teléfono estaba en su mano, se lo llevaba a casa o se lo pasaba a alguien más del equipo.
También te puede interesar:
Este nuevo virus en tu móvil está drenando cuentas bancarias en todo el mundo
Los estafadores ahora pueden clonar tu voz con IA: así puedes protegerte
Estafa “brillante y aterradora” con la que roban tu número... y miles de dólares
Con el código de acceso, bloqueaba a las víctimas de sus cuentas de Apple y saqueaba miles de dólares en cuestión de horas. También usaba el teléfono robado para hacer compras con Apple Pay de otros dispositivos Apple, generalmente modelos iPad Pro de US$ 1.200, que más tarde vendía por efectivo junto con los teléfonos.
“Ese código de acceso es el diablo”, dijo a The Wall Street Journal. “A veces puede ser Dios, pero también puede ser el diablo”.
En un ágil procedimiento que aprendió por su cuenta, Johnson accedía al menú “Configuración” y cambiaba la contraseña de ID de Apple, lo que le permitía desactivar el servicio “Buscar mi iPhone”. Con esa opción deshabilitada, las víctimas no pueden iniciar sesión en otro dispositivo para localizar o resetear de forma remota el iPhone robado.
El siguiente paso era ingresar sus propios datos biométricos de reconocimiento facial para obtener acceso rápido y completo a las todas contraseñas guardadas en el Llavero de iCloud, desde cuentas bancarias hasta aplicaciones de intercambio de criptomonedas. En caso de tener problemas para acceder a esas aplicaciones, buscaba información adicional del usuario en Notas y Fotos.
Johnson, que ya tenía condenas previas por robo y hurto, se declaró culpable en marzo pasado de extorsión y fue sentenciado a 94 meses. “Estaba en la calle”, dijo en la entrevista. “Empecé a tener hijos y necesitaba dinero. No pude encontrar ningún trabajo, así que me dediqué a eso…”.
“Mira a tu alrededor y no des tu contraseña a nadie”
El nuevo sistema de protección de Apple puede frustrar la mayoría de los trucos de Johnson. Si el teléfono se encuentra en una ubicación geográfica que no está asociada con su propietario, el dispositivo requerirá el ingreso con reconocimiento facial, además del código de acceso.
Los ladrones no podrán realizar cambios ni acceder a configuraciones con solo el código de acceso, tampoco podrán alterar la contraseña del ID de Apple ni eliminar el Face ID sin un retraso obligatorio de una hora y un escaneo biométrico adicional.
Pero el sistema tiene algunas deficiencias todavía. Por ejemplo, si no es activado de forma manual, el usuario será tan vulnerable como siempre. De igual forma, un ladrón podría fácilmente utilizar Apple Pay y cualquier aplicación que no esté protegida por una contraseña o PIN adicional.
Los expertos recomiendan disponer de un código de acceso distinto para las aplicaciones de gestión de dinero, como Venmo, PayPal y Cash App, así como eliminar cualquier nota o foto que incluya información personal. Esos datos pueden ser guardados de forma segura en una nota dentro de un administrador de contraseñas de terceros, como Dashlane o 1Password.
El consejo definitivo viene del propio Johnson. “Mira a tu alrededor y no des tu contraseña a nadie”, dijo desde la cárcel, poco después de bromear con que Apple debería contratarlo para solucionar sus problemas de seguridad.
