FatGPS

Phishing del Bloqueo de activación: SMS falsos de Apple ID

Tras el robo de un iPhone, los ladrones envían SMS falsos para obtener credenciales. Cómo detectarlos y por qué responder desbloquea el equipo.

Celular emitiendo luz azul suave sobre un buró de madera por la noche, reloj analógico desenfocado al lado, habitación apenas iluminada
En esta página 9 secciones

Te acaban de robar el iPhone. Menos de una hora después llega un mensaje: “Apple: Tu iPhone 16 Pro fue localizado cerca de tu zona. Confirma tu Apple ID para restaurar el acceso: [enlace].” Se ve real. El remitente dice “Apple.” La vista previa del enlace muestra algo que casi parece icloud.com.

No des clic. Ese mensaje es la segunda parte del robo. El primer ladrón se llevó tu celular. El segundo intenta llevarse tu cuenta de Apple.

Si te robaron el celular y estás recibiendo mensajes amenazantes o te piden desactivar Buscar, contacta a la policía y a Apple directamente. No respondas al remitente. Recursos: Policía Cibernética CDMX al 55-5242-5100 ext. 5086, CONDUSEF fraude financiero [55-5340-0999], Apple Support en support.apple.com/es-mx/.

Puntos clave

  • El Bloqueo de activación hace que un iPhone robado sea prácticamente invendible sin tus credenciales de Apple ID. Por eso los ladrones lanzan campañas de phishing inmediatamente después del robo.
  • Los mensajes de phishing suelen llegar entre 30 y 120 minutos después del robo, timed para coincidir con tu pico de pánico.
  • Los mensajes falsos se hacen pasar por Apple, tu operadora y, a veces, por un “servicio de paquetería”. Ninguno es real.
  • Ingresar tus credenciales en un sitio de phishing elimina el Bloqueo de activación en minutos y permite que el equipo llegue al mercado de reventa el mismo día.
  • Las llaves de seguridad física y las passkeys son el único tipo de credencial que no puede ser phisheada en tiempo real.
  • Los mensajes reales de Apple nunca contienen enlaces a dominios fuera de apple.com o icloud.com, y nunca piden tu contraseña en un SMS.
  • Si ya diste clic, ve a appleid.apple.com inmediatamente, cambia tu contraseña y cierra sesión en todos los dispositivos.

Primeros pasos si te roban el celular

Por qué los ladrones envían mensajes de phishing: la economía del Bloqueo de activación

El Bloqueo de activación es la razón. Apple lo introdujo en 2013 como parte de iOS 7, y en dos años la tasa de robo de iPhone en Estados Unidos cayó aproximadamente un 40 por ciento, según un reporte de 2015 del Fiscal General de Nueva York citando estadísticas del NYPD. Un iPhone con Bloqueo de activación no puede configurarse, restaurarse ni usarse sin el Apple ID y la contraseña originales.

Desde la perspectiva del ladrón, un iPhone bloqueado vale muy poco en el mercado de reventa. Un iPhone 15 Pro funcionando y limpio puede venderse por unos 15,000 a 18,000 pesos en Mercado Libre MX o en el mercado informal. Uno bloqueado por Bloqueo de activación se vende por 1,000 a 3,000 pesos como piezas: la pantalla, la batería y los módulos de cámara tienen valor, pero la placa lógica es inútil sin credenciales. Esa diferencia, cerca de 12,000 a 15,000 pesos por equipo, es el motor financiero que impulsa las campañas de phishing post-robo.

La aritmética es brutal. Un ladrón que roba cinco celulares por semana y convierte a un solo dueño para que entregue sus credenciales de Apple ID gana varios miles de pesos extra por un único SMS. La infraestructura de phishing, registro de dominio más un formulario HTML clonado de Apple, cuesta menos de 200 pesos y puede reutilizarse cientos de veces. El Anti-Phishing Working Group (APWG) registró 1.08 millones de ataques únicos de phishing en el tercer trimestre de 2023, con ataques por celular creciendo un 34 por ciento año contra año.

Cómo funciona el Bloqueo de activación

La ventana de dos horas: qué tan rápido llega el phishing después del robo

Los mensajes llegan rápido. Entre 30 y 120 minutos es la ventana típica, basada en patrones que aparecen consistentemente en foros de soporte donde dueños de iPhones robados comparten sus experiencias. El momento es deliberado.

El ladrón conecta el celular a un lector o usa una laptop para verificar si el Bloqueo de activación está activo. Si lo está, cede o vende el equipo a un operador secundario especializado en captura de credenciales. Ese operador tiene un mensaje listo: solo inserta el número de teléfono del dueño (que ya tienen de la SIM o de la lista de contactos del dispositivo, que leyeron antes de que el Bloqueo los cerrara) y el modelo del equipo.

La ventana de 2 horas es tu momento más vulnerable. Estás alterado, revisando cada dispositivo que tienes, desesperado por cualquier mensaje que diga que el celular apareció. Los atacantes lo saben. El mensaje está diseñado para alcanzarte mientras tu juicio está afectado por la adrenalina y la esperanza.

El patrón temporal en los reportes de foros es lo suficientemente consistente como para sugerir coordinación profesional, no improvisación. Esto es organizado, no oportunista.

Las cinco plantillas de mensajes que usan los ladrones

Cada mensaje falso encaja en una de cinco plantillas. Reconocer la plantilla es más rápido que analizar el enlace.

Plantilla 1: “Tu iPhone fue localizado.” La variante más común. El SMS o correo afirma que Buscar ubicó el dispositivo y pide que confirmes la titularidad. Texto de ejemplo: “Apple: iPhone 16 Pro encontrado cerca de [ubicación cercana al robo]. Confirma tu Apple ID para restaurar el acceso: [url-falsa].” La ubicación está fabricada o es el lugar real del robo, que el ladrón ya conoce.

Plantilla 2: Llamada o SMS falso de Soporte Apple. Un número que muestra “Apple” como ID de llamada (la suplantación de ID de llamada cuesta centavos) dice que tu cuenta tiene actividad sospechosa y te dirige a una página de verificación. La FTC documentó la suplantación de Soporte Apple como una de las cinco principales estafas de soporte técnico. El Soporte real de Apple no inicia llamadas no solicitadas.

Plantilla 3: “iCloud detectó acceso no autorizado.” Esta ni siquiera menciona el robo directamente. Llega como correo con el diseño visual de Apple y afirma que tu cuenta está bloqueada por “actividad de inicio de sesión inusual.” El enlace lleva a una página de inicio de sesión que captura tus credenciales. Esta plantilla apunta a personas que aún no saben que les robaron el celular, o que reciben el correo días después del evento.

Plantilla 4: Mensaje falso de operadora. “Telcel: Localizamos un dispositivo registrado en tu cuenta. Da clic para confirmar la recuperación.” Las operadoras no localizan dispositivos. Pueden bloquear IMEIs y congelar SIMs, pero la ubicación la maneja el sistema operativo del equipo, no la red de la operadora. Cualquier mensaje de operadora que afirme localizar un celular es falso.

Plantilla 5: Estafa de recontacto por paquetería. Menos frecuente, pero documentada en Reino Unido e India. Un mensaje afirma que un paquete vinculado a la dirección de entrega del celular fue interceptado. El enlace pide verificación de identidad. Es phishing no relacionado con Apple pero timed para explotar la misma ventana de pánico. El NCSC del Reino Unido documentó un aumento del 73 por ciento en smishing por entregas en 2023.

Mensaje real de Apple vs. falso: comparación

SeñalMensaje real de AppleMensaje falso de Apple
Dominio del remitente (correo)@apple.com o @id.apple.com únicamente@apple-support-id.com, @icloud-find.net, Gmail aleatorio
Remitente (SMS)Código corto o ID de remitente “Apple”Número de 10 dígitos completo o “Apple” suplantado
Dominio del enlaceapple.com o icloud.com, nunca subdominio con guionesicloud-find-iphone.com, applefindmy.tech, apple-id-verify.net
Qué pideTe dirige a abrir Ajustes o visitar una página conocida de ApplePide Apple ID, contraseña, código 2FA o datos de pago
Lenguaje de urgenciaFactual, sin contadores regresivos”Actúa ya o tu equipo será borrado en 24 horas”
PersonalizaciónUsa el nombre de tu dispositivo tal como está en tu Apple ID”tu iPhone” genérico o nombre de modelo incorrecto
Gramática y espaciadoLimpio, estándar editorial de AppleErrores de espaciado, capitalización inconsistente

La guía oficial de Apple para reconocer phishing está en support.apple.com/es-mx/102656. Guárdala ahora, antes de necesitarla.

Qué pasa si das clic e ingresas tus credenciales

La secuencia es rápida. Entre 5 y 10 minutos después de enviar las credenciales, un script automatizado (o un operador en línea) inicia sesión en tu Apple ID. Lo que ocurre en orden:

Primero, el atacante inicia sesión en appleid.apple.com con tu correo y contraseña. Si usas autenticación de dos factores por SMS, su kit de phishing retransmite tu intento de inicio de sesión en vivo a los servidores reales de Apple, activa el SMS del doble factor a tu número de respaldo (que es el celular robado que ya tiene en sus manos) e ingresa el código antes de que expire. Esta técnica de “adversario en el medio” está bien documentada por investigadores de seguridad en Zscaler y Cofense.

Segundo, navega a Buscar en iCloud, selecciona tu dispositivo y da clic en Eliminar este dispositivo de Buscar. Esto termina el Modo Perdido y elimina el Bloqueo de activación. El dispositivo reinicia como nuevo. Ahora vale su valor completo de reventa.

Tercero, en horas el celular está restablecido, vinculado a un nuevo Apple ID y vendido. Una investigación de Trustonic de 2024 rastreó iPhones robados en México y Europa hasta una bodega en Shenzhen. Algunos se revenden localmente; otros se exportan a mercados donde verificar el Bloqueo de activación es menos común.

Cuarto, y frecuentemente ignorado: tu Fototeca de iCloud, los iMessages respaldados en iCloud, Notas, contactos y las contraseñas guardadas en el Llavero de iCloud quedan accesibles. Para la mayoría de las personas, esta es la pérdida más grave. El hardware del celular es reemplazable. La extracción de datos es el segundo delito que nunca aparece en las estadísticas de robo.

Qué hacer si ya diste clic

Muévete rápido. La ventana entre el envío de credenciales y la eliminación del Bloqueo de activación es estrecha pero real.

  1. En cualquier dispositivo, abre appleid.apple.com inmediatamente. Inicia sesión con cualquier sesión que siga activa, o usa la recuperación de cuenta si ya cambiaron la contraseña.
  2. Ve a “Inicio de sesión y seguridad” y selecciona “Cambiar contraseña.” Usa una contraseña fuerte y única que nunca hayas usado en otro lugar.
  3. En “Dispositivos”, elimina todo dispositivo que no reconozcas. Eliminar un dispositivo cierra sesión en tu Apple ID al instante y reactiva el Bloqueo de activación si Buscar estaba activo.
  4. Activa una llave de seguridad física o una passkey en “Autenticación de dos factores” si tu cuenta todavía tiene los ajustes accesibles. Una llave física FIDO2 (YubiKey, Google Titan) no puede ser phisheada porque está vinculada criptográficamente al dominio de apple.com. Una retransmisión de credenciales a cualquier otro dominio falla silenciosamente.
  5. Revisa Fotos de iCloud, Notas y el Llavero en busca de señales de acceso: los registros de descarga no están disponibles para consumidores, pero si ves actividad reciente que no realizaste en los ajustes de iCloud, trátalo como una filtración de datos.
  6. Reporta el fraude ante la CONDUSEF (Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros) al 55-5340-0999. Si detectas movimientos bancarios no autorizados vinculados al robo de credenciales, CONDUSEF tiene facultad de mediar con tu institución financiera.
  7. Presenta una denuncia ante la Policía Cibernética CDMX al 55-5242-5100 ext. 5086, o ante la Unidad de Policía Cibernética de tu estado. El Art. 211 bis 1 del Código Penal Federal (CPF) tipifica el acceso ilícito a sistemas informáticos, que incluye el uso no autorizado de credenciales obtenidas mediante phishing.
  8. Contacta la FGR o tu fiscalía estatal para abrir carpeta de investigación. Lleva capturas del mensaje, la URL, el número del remitente y evidencia de la actividad no autorizada en tu cuenta.
  9. Llama a Apple Support al número de México en support.apple.com/es-mx/ y explica que pudiste haber ingresado credenciales en un sitio de phishing. Pueden poner una retención de seguridad en la cuenta y escalar al equipo de Confianza y Seguridad.
  10. Notifica a tu operadora (Telcel: 55-2581-3300; AT&T México: 800-288-2020; Movistar: 800-888-8366). Pide que bloqueen tu SIM y emitan una SIM nueva con el mismo número para evitar ataques de intercambio de SIM como segunda oleada.
  11. Cambia cualquier contraseña guardada en el Llavero de iCloud que uses para cuentas financieras, correo o redes sociales. Trata el Llavero como comprometido.

Para lectores fuera de México

PaísFraude / cibercrimenEmergenciaDatos personales
Argentina0800-999-2347 (SIGEN línea fraude)911AAIP
ColombiaCAI Virtual123SIC
ChilePDI Cibercrimen133Consejo para la Transparencia
PerúPolicía Cibernética105ANPD
España016 fraude; INCIBE 017 cibercrimen112AEPD

Por qué Apple dice que NO debes borrar el celular de inmediato

Esto sorprende a la mayoría. El instinto tras un robo es borrar el equipo a distancia para que nadie acceda a tus datos. Ese instinto es incorrecto en la mayoría de los casos, y la propia guía de Apple en support.apple.com/es-mx/HT201441 lo refleja.

El motivo: cuando el Modo Perdido está activo y el Bloqueo de activación encendido, el celular es una caja cerrada que transmite su ubicación a Buscar y no puede configurarse sin tus credenciales. Borrarlo desde iCloud lo elimina de Buscar para siempre, apaga el beacon de ubicación y le entrega al atacante un equipo limpio que puede activar con un nuevo Apple ID. Hiciste su trabajo por él.

Mantén el Modo Perdido activo. La cadena del Bloqueo de activación es tu ventaja. La policía con una orden de recuperación y un pin de Find My en vivo puede recuperar el equipo. Varias ciudades, incluyendo Ciudad de México con sus unidades del C5, usan ubicaciones activas de Find My para recuperar dispositivos. Esa cadena se rompe en el momento en que presionas “Borrar.”

La única excepción: si el equipo contiene datos tan sensibles (expedientes médicos, comunicaciones profesionales confidenciales, credenciales financieras) que el riesgo de extracción supera el valor de recuperación, borra a distancia. Para la mayoría de los iPhones de uso personal con apps desbloqueadas por Face ID pero sin datos inusuales, el Modo Perdido es la mejor opción.

Patrones regionales de phishing: dónde golpea más fuerte

El phishing post-robo de iPhones no está distribuido de manera uniforme. Tres regiones dominan el patrón.

México y LATAM presentan un volumen creciente de smishing post-robo, particularmente en zonas con alta incidencia de robo de celulares: Metro CDMX, Tepito, Mercado Hidalgo en Tijuana, Plaza de la Electrónica en Monterrey. Los mensajes imitan el formato de Telcel y AT&T México además de Apple, aprovechando que el dueño a menudo intenta contactar a su operadora en los primeros minutos. El Programa Celular Seguro de Brasil (celularseguro.mj.gov.br), lanzado en diciembre de 2023, fue necesario precisamente porque mensajes de phishing comenzaron a suplantar al propio programa gubernamental.

India genera el mayor volumen reportado de SMS de phishing post-robo enviados a propietarios en países de habla inglesa. Un patrón común: un iPhone robado mientras el propietario viajaba llega a India en días. El propietario recibe mensajes de números con +91 que dicen ser “Apple Support India.” El Internet and Mobile Association of India estimó que 1.77 mil millones de SMS fraudulentos fueron enviados en India en 2023.

Brasil es el segundo mercado por volumen para phishing de celulares robados. Brasil registró un estimado de 1 millón de robos de celulares en 2023 según el FBSP (Fórum Brasileiro de Segurança Pública).

China es principalmente un mercado de destino. Los mercados mayoristas de Shenzhen y Guangzhou aceptan dispositivos con Bloqueo de activación desbloqueado a un precio significativamente mayor que los bloqueados, lo que sostiene el incentivo económico para el robo de credenciales.

Dónde acaban los celulares robados

Si acabas de recibir un mensaje sospechoso de Buscar: 8 pasos

Hazlos en orden, antes de cualquier otra cosa.

  1. No des clic al enlace. Ni para inspeccionarlo. En celular, una URL maliciosa puede activar una cadena de redirecciones que comienza a cargar una página de captura de credenciales antes de que veas el dominio.
  2. Toma captura del mensaje con la información completa del remitente visible. La necesitarás para el reporte ante la policía y la CONDUSEF.
  3. Abre otro dispositivo (laptop, tablet, celular prestado) y ve directamente a icloud.com/find escribiendo la URL. No sigas ningún enlace del mensaje.
  4. Verifica que el Modo Perdido siga activo. Si tu dispositivo todavía aparece como Perdido en el mapa real de iCloud, el Bloqueo de activación está funcionando. El mensaje de phishing aún no tuvo éxito.
  5. No desactives Buscar ni el Modo Perdido por ningún motivo que indique un mensaje. Este es el objetivo central del intento de phishing.
  6. Revisa tu Apple ID en busca de sesiones no reconocidas en appleid.apple.com bajo “Dispositivos.” Si ves un dispositivo que no reconoces agregado recientemente, elimínalo inmediatamente.
  7. Reporta el mensaje de phishing a Apple enviándolo a reportphishing@apple.com (correo) o en reportfraud.ftc.gov para SMS. En México, también puedes reportarlo a la Policía Cibernética CDMX.
  8. Contacta a tu operadora para confirmar que tu SIM no fue interceptada. Los ataques de intercambio de SIM a veces siguen al phishing del Bloqueo de activación cuando el intento principal falla, porque una SIM intercambiada puede interceptar el código de doble factor enviado a tu número.

Cómo rastrear por IMEI para evidencia policial


El manual de phishing post-robo de iPhone no ha cambiado sustancialmente desde que se lanzó el Bloqueo de activación, porque la economía no ha cambiado. Un iPhone desbloqueado vale diez veces uno bloqueado. El phishing es barato. El pánico es predecible. La defensa es sencilla pero requiere conocer el manual antes de que te lo apliquen: nunca des clic a un enlace en un mensaje sobre tu celular robado, ve directamente a icloud.com, mantén el Modo Perdido activo y usa una llave de seguridad física si puedes. El Bloqueo de activación está haciendo su trabajo mientras no lo desactives.

Preguntas frecuentes

Lo que más nos preguntan

7 preguntas · Actualizado may 2026

¿Los ladrones pueden eliminar el Bloqueo de activación sin mi contraseña?
No. El Bloqueo de activación no se puede eludir sin el Apple ID y la contraseña que lo activaron. Exactamente por eso los ladrones envían mensajes de phishing: necesitan que tú les entregues las credenciales de forma voluntaria. Cualquier servicio, sitio web o persona que diga eliminar el Bloqueo de activación sin tu Apple ID está haciendo un intercambio de hardware no autorizado o es una estafa. El soporte de Apple en support.apple.com/es-mx/ es la única vía de escalamiento legítima.
¿Cómo distingo un SMS real de Apple de uno falso?
Los SMS reales de Apple llegan desde un código corto o desde el ID de remitente 'Apple', nunca desde un número telefónico completo de 10 dígitos. Nunca contienen un enlace a un dominio distinto de apple.com o icloud.com. Nunca piden tu contraseña, Apple ID, código de doble factor ni datos de pago en un mensaje de texto. Si la URL del mensaje tiene guiones, palabras extras o un dominio que no coincide con el que Apple usa en tu región, es falso.
Di clic al enlace e ingresé mi contraseña. ¿Qué pasa ahora?
En minutos, el atacante puede iniciar sesión en tu Apple ID, eliminar el Bloqueo de activación, quitar el Modo Perdido y vender el equipo. También puede descargar tu Fototeca de iCloud y acceder a respaldos de iMessage. Actúa en los primeros 10 minutos: ve a appleid.apple.com, inicia sesión y en 'Inicio de sesión y seguridad' selecciona 'Cambiar contraseña'. Elimina todos los dispositivos que no reconozcas. Después reporta el fraude ante la CONDUSEF al [55-5340-0999](tel:5553400999) y ante Apple en support.apple.com/es-mx/.
¿Por qué Apple dice que NO debes borrar el celular tras el robo?
Borrar el equipo desde iCloud lo elimina para siempre del rastreo de Buscar. Mientras el Bloqueo de activación está activo y el Modo Perdido encendido, el celular es prácticamente inservible para el ladrón. Borrarlo le entrega un equipo limpio y listo para activar. La única razón para borrar a distancia es cuando el equipo no puede recuperarse y contiene datos tan sensibles que el riesgo de extracción supera el valor de recuperación. Deja que el Bloqueo de activación haga su trabajo primero.
¿Qué es el 'smishing' y por qué el contexto de robo de celular es ideal para él?
Smishing es phishing entregado por SMS. Funciona combinando urgencia, estado emocional e impersonación creíble del remitente. Tras un robo estás alterado, revisando cada mensaje y esperando buenas noticias. Los ladrones explotan exactamente esa ventana. El Anti-Phishing Working Group registró 1.08 millones de ataques únicos de phishing solo en el tercer trimestre de 2023, con ataques por celular creciendo más rápido que los basados en correo. El dueño de un celular recién robado es el objetivo de conversión más alto.
¿Puedo rastrear la ubicación del ladrón respondiendo al enlace de phishing?
No, e intentarlo es peligroso. La infraestructura de phishing está diseñada para capturar credenciales, no para revelar la ubicación del atacante. Las IPs visibles en los registros del servidor son casi siempre VPNs, nodos de salida de Tor o intermediarios comprometidos en terceros países. Pasa toda evidencia, capturas del mensaje, URLs y números del remitente, a la Policía Cibernética CDMX al 55-5242-5100 ext. 5086 y a tu fiscalía estatal, que tienen herramientas legales para solicitar registros a las operadoras.
¿La autenticación de dos factores me protege si ingresé mi contraseña en un sitio de phishing?
La autenticación de dos factores por SMS ofrece protección parcial porque el atacante necesita el código de un solo uso en tiempo real. Muchos kits de phishing usan una técnica de 'retransmisión en tiempo real': pasan tus credenciales en vivo a la página real de Apple, activan el SMS de doble factor y te piden inmediatamente el código en su página falsa. El único tipo de credencial resistente a este ataque es una llave de seguridad física o una passkey, porque ambas están vinculadas criptográficamente al dominio y no pueden reproducirse en un sitio diferente.