El phishing se ha convertido en una amenaza constante, ahora los ciberdelincuentes han encontrado un nuevo campo de juego: el ecosistema de Apple. Según un estudio reciente de la firma de ciberseguridad Catalyst, grupos organizados están utilizando granjas de iPhones para enviar hasta 100.000 mensajes de phishing al día a través de iMessages, el sistema de mensajería encriptada de Apple.

Este hecho está siendo impulsado por una infraestructura altamente profesionalizada que no requiere conocimientos técnicos avanzados. Basta con adquirir el servicio, muchas veces mediante plataformas alojadas en China, para lanzar campañas automatizadas y masivas de suplantación de identidad con un solo clic. Es el auge del Phishing-as-a-Service (PhAAS), una modalidad de fraude como servicio que está democratizando el cibercrimen y ampliando su alcance a escala mundial.

Lo preocupante no es solo la cantidad de mensajes enviados, sino la calidad de los mismos. Se trata de campañas muy elaboradas que imitan con precisión páginas web legítimas de servicios de mensajería, agencias tributarias o plataformas de pago de peajes. El objetivo: robar credenciales, números de tarjetas bancarias y datos personales para su uso en fraudes económicos.

Ad

Phishing silencioso: cuando el cifrado juega en contra

La clave del éxito de estas campañas radica en el uso de iMessages el sistema de comunicación de los Iphones. A diferencia de los SMS tradicionales, esta plataforma de Apple está cifrada de extremo a extremo, lo que impide a los operadores de red analizar o filtrar el contenido de los mensajes. En la práctica, esto significa que los filtros de spam convencionales no funcionan, y que los mensajes fraudulentos llegan al usuario con apariencia legítima, muchas veces incluso acompañados por el nombre de contacto del supuesto remitente real.

El sistema se apoya en Apple IDs temporales, que se crean y descartan en ciclos rápidos, impidiendo rastreos efectivos. Las granjas de iPhones –literalmente bancos físicos con decenas o cientos de dispositivos iOS conectados– permiten a los atacantes rotar las identidades y direcciones de envío para evitar ser detectados o bloqueados por patrones repetitivos en los iMessages.

Estos dispositivos no solo envían los mensajes, sino que también simulan interacciones reales, como respuestas automáticas o reenvíos, lo que hace aún más difícil para los sistemas de seguridad distinguir entre tráfico malicioso y tráfico legítimo.

El negocio del fraude como servicio (PhAAS)

La industrialización del phishing se ha consolidado en torno al modelo as-a-service. Plataformas como Lucid, operada por actores maliciosos desde China, permiten alquilar el uso de estas granjas de dispositivos mediante suscripciones mensuales. Los precios varían según el alcance geográfico, el volumen de mensajes enviados o la sofisticación de las plantillas disponibles.

Un caso llamativo es el del grupo XinXin, que ha sido identificado vendiendo kits de phishing que imitan con gran fidelidad los sitios web de empresas de paquetería, notificaciones de peajes y devoluciones de impuestos. Estas plantillas están diseñadas para generar confianza y urgencia, dos elementos clave en cualquier ataque exitoso de ingeniería social.

En paralelo, se han identificado canales en Telegram con miles de miembros en los que se comercializan estos servicios, se comparten consejos para mejorar las tasas de éxito y se publican actualizaciones de nuevos objetivos o campañas activas.

Lo más alarmante es la escalabilidad: una sola granja de iPhones puede enviar decenas de miles de mensajes al día sin intervención humana, dirigidos a usuarios de 88 países distintos. La automatización del proceso ha reducido las barreras de entrada al cibercrimen y ha convertido al phishing en un modelo de negocio globalizado.

Una amenaza que exige respuestas urgentes

La utilización de tecnologías cifradas para fines maliciosos plantea un dilema complejo: ¿cómo proteger la privacidad sin abrir la puerta al abuso? La respuesta no es sencilla, pero sí urgente. La seguridad digital no puede depender únicamente del usuario final, y requiere medidas conjuntas entre fabricantes, gobiernos y proveedores de servicios de mensajería.

Los expertos coinciden en que el cifrado debe seguir siendo un pilar de la privacidad digital, pero también es necesario explorar mecanismos que permitan detectar patrones de abuso sin comprometer los derechos fundamentales. La colaboración internacional, la inversión en inteligencia artificial para la detección de anomalías y la concienciación ciudadana son parte de la solución.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre