Phishing del Bloqueo de activación: SMS falsos de Apple ID
Tras el robo de un iPhone, los ladrones envían SMS falsos para obtener credenciales. Cómo detectarlos y por qué responder desbloquea el equipo.
En esta página 9 secciones
- Por qué los ladrones envían mensajes de phishing: la economía del Bloqueo de activación
- La ventana de dos horas: qué tan rápido llega el phishing después del robo
- Las cinco plantillas de mensajes que usan los ladrones
- Mensaje real de Apple vs. falso: comparación
- Qué pasa si das clic e ingresas tus credenciales
- Qué hacer si ya diste clic
- Por qué Apple dice que NO debes borrar el celular de inmediato
- Patrones regionales de phishing: dónde golpea más fuerte
- Si acabas de recibir un mensaje sospechoso de Buscar: 8 pasos
Te acaban de robar el iPhone. Menos de una hora después llega un mensaje: “Apple: Tu iPhone 16 Pro fue localizado cerca de tu zona. Confirma tu Apple ID para restaurar el acceso: [enlace].” Se ve real. El remitente dice “Apple.” La vista previa del enlace muestra algo que casi parece icloud.com.
No des clic. Ese mensaje es la segunda parte del robo. El primer ladrón se llevó tu celular. El segundo intenta llevarse tu cuenta de Apple.
Puntos clave
- El Bloqueo de activación hace que un iPhone robado sea prácticamente invendible sin tus credenciales de Apple ID. Por eso los ladrones lanzan campañas de phishing inmediatamente después del robo.
- Los mensajes de phishing suelen llegar entre 30 y 120 minutos después del robo, timed para coincidir con tu pico de pánico.
- Los mensajes falsos se hacen pasar por Apple, tu operadora y, a veces, por un “servicio de paquetería”. Ninguno es real.
- Ingresar tus credenciales en un sitio de phishing elimina el Bloqueo de activación en minutos y permite que el equipo llegue al mercado de reventa el mismo día.
- Las llaves de seguridad física y las passkeys son el único tipo de credencial que no puede ser phisheada en tiempo real.
- Los mensajes reales de Apple nunca contienen enlaces a dominios fuera de apple.com o icloud.com, y nunca piden tu contraseña en un SMS.
- Si ya diste clic, ve a appleid.apple.com inmediatamente, cambia tu contraseña y cierra sesión en todos los dispositivos.
Primeros pasos si te roban el celular
Por qué los ladrones envían mensajes de phishing: la economía del Bloqueo de activación
El Bloqueo de activación es la razón. Apple lo introdujo en 2013 como parte de iOS 7, y en dos años la tasa de robo de iPhone en Estados Unidos cayó aproximadamente un 40 por ciento, según un reporte de 2015 del Fiscal General de Nueva York citando estadísticas del NYPD. Un iPhone con Bloqueo de activación no puede configurarse, restaurarse ni usarse sin el Apple ID y la contraseña originales.
Desde la perspectiva del ladrón, un iPhone bloqueado vale muy poco en el mercado de reventa. Un iPhone 15 Pro funcionando y limpio puede venderse por unos 15,000 a 18,000 pesos en Mercado Libre MX o en el mercado informal. Uno bloqueado por Bloqueo de activación se vende por 1,000 a 3,000 pesos como piezas: la pantalla, la batería y los módulos de cámara tienen valor, pero la placa lógica es inútil sin credenciales. Esa diferencia, cerca de 12,000 a 15,000 pesos por equipo, es el motor financiero que impulsa las campañas de phishing post-robo.
La aritmética es brutal. Un ladrón que roba cinco celulares por semana y convierte a un solo dueño para que entregue sus credenciales de Apple ID gana varios miles de pesos extra por un único SMS. La infraestructura de phishing, registro de dominio más un formulario HTML clonado de Apple, cuesta menos de 200 pesos y puede reutilizarse cientos de veces. El Anti-Phishing Working Group (APWG) registró 1.08 millones de ataques únicos de phishing en el tercer trimestre de 2023, con ataques por celular creciendo un 34 por ciento año contra año.
Cómo funciona el Bloqueo de activación
La ventana de dos horas: qué tan rápido llega el phishing después del robo
Los mensajes llegan rápido. Entre 30 y 120 minutos es la ventana típica, basada en patrones que aparecen consistentemente en foros de soporte donde dueños de iPhones robados comparten sus experiencias. El momento es deliberado.
El ladrón conecta el celular a un lector o usa una laptop para verificar si el Bloqueo de activación está activo. Si lo está, cede o vende el equipo a un operador secundario especializado en captura de credenciales. Ese operador tiene un mensaje listo: solo inserta el número de teléfono del dueño (que ya tienen de la SIM o de la lista de contactos del dispositivo, que leyeron antes de que el Bloqueo los cerrara) y el modelo del equipo.
La ventana de 2 horas es tu momento más vulnerable. Estás alterado, revisando cada dispositivo que tienes, desesperado por cualquier mensaje que diga que el celular apareció. Los atacantes lo saben. El mensaje está diseñado para alcanzarte mientras tu juicio está afectado por la adrenalina y la esperanza.
El patrón temporal en los reportes de foros es lo suficientemente consistente como para sugerir coordinación profesional, no improvisación. Esto es organizado, no oportunista.
Las cinco plantillas de mensajes que usan los ladrones
Cada mensaje falso encaja en una de cinco plantillas. Reconocer la plantilla es más rápido que analizar el enlace.
Plantilla 1: “Tu iPhone fue localizado.” La variante más común. El SMS o correo afirma que Buscar ubicó el dispositivo y pide que confirmes la titularidad. Texto de ejemplo: “Apple: iPhone 16 Pro encontrado cerca de [ubicación cercana al robo]. Confirma tu Apple ID para restaurar el acceso: [url-falsa].” La ubicación está fabricada o es el lugar real del robo, que el ladrón ya conoce.
Plantilla 2: Llamada o SMS falso de Soporte Apple. Un número que muestra “Apple” como ID de llamada (la suplantación de ID de llamada cuesta centavos) dice que tu cuenta tiene actividad sospechosa y te dirige a una página de verificación. La FTC documentó la suplantación de Soporte Apple como una de las cinco principales estafas de soporte técnico. El Soporte real de Apple no inicia llamadas no solicitadas.
Plantilla 3: “iCloud detectó acceso no autorizado.” Esta ni siquiera menciona el robo directamente. Llega como correo con el diseño visual de Apple y afirma que tu cuenta está bloqueada por “actividad de inicio de sesión inusual.” El enlace lleva a una página de inicio de sesión que captura tus credenciales. Esta plantilla apunta a personas que aún no saben que les robaron el celular, o que reciben el correo días después del evento.
Plantilla 4: Mensaje falso de operadora. “Telcel: Localizamos un dispositivo registrado en tu cuenta. Da clic para confirmar la recuperación.” Las operadoras no localizan dispositivos. Pueden bloquear IMEIs y congelar SIMs, pero la ubicación la maneja el sistema operativo del equipo, no la red de la operadora. Cualquier mensaje de operadora que afirme localizar un celular es falso.
Plantilla 5: Estafa de recontacto por paquetería. Menos frecuente, pero documentada en Reino Unido e India. Un mensaje afirma que un paquete vinculado a la dirección de entrega del celular fue interceptado. El enlace pide verificación de identidad. Es phishing no relacionado con Apple pero timed para explotar la misma ventana de pánico. El NCSC del Reino Unido documentó un aumento del 73 por ciento en smishing por entregas en 2023.
Mensaje real de Apple vs. falso: comparación
| Señal | Mensaje real de Apple | Mensaje falso de Apple |
|---|---|---|
| Dominio del remitente (correo) | @apple.com o @id.apple.com únicamente | @apple-support-id.com, @icloud-find.net, Gmail aleatorio |
| Remitente (SMS) | Código corto o ID de remitente “Apple” | Número de 10 dígitos completo o “Apple” suplantado |
| Dominio del enlace | apple.com o icloud.com, nunca subdominio con guiones | icloud-find-iphone.com, applefindmy.tech, apple-id-verify.net |
| Qué pide | Te dirige a abrir Ajustes o visitar una página conocida de Apple | Pide Apple ID, contraseña, código 2FA o datos de pago |
| Lenguaje de urgencia | Factual, sin contadores regresivos | ”Actúa ya o tu equipo será borrado en 24 horas” |
| Personalización | Usa el nombre de tu dispositivo tal como está en tu Apple ID | ”tu iPhone” genérico o nombre de modelo incorrecto |
| Gramática y espaciado | Limpio, estándar editorial de Apple | Errores de espaciado, capitalización inconsistente |
La guía oficial de Apple para reconocer phishing está en support.apple.com/es-mx/102656. Guárdala ahora, antes de necesitarla.
Qué pasa si das clic e ingresas tus credenciales
La secuencia es rápida. Entre 5 y 10 minutos después de enviar las credenciales, un script automatizado (o un operador en línea) inicia sesión en tu Apple ID. Lo que ocurre en orden:
Primero, el atacante inicia sesión en appleid.apple.com con tu correo y contraseña. Si usas autenticación de dos factores por SMS, su kit de phishing retransmite tu intento de inicio de sesión en vivo a los servidores reales de Apple, activa el SMS del doble factor a tu número de respaldo (que es el celular robado que ya tiene en sus manos) e ingresa el código antes de que expire. Esta técnica de “adversario en el medio” está bien documentada por investigadores de seguridad en Zscaler y Cofense.
Segundo, navega a Buscar en iCloud, selecciona tu dispositivo y da clic en Eliminar este dispositivo de Buscar. Esto termina el Modo Perdido y elimina el Bloqueo de activación. El dispositivo reinicia como nuevo. Ahora vale su valor completo de reventa.
Tercero, en horas el celular está restablecido, vinculado a un nuevo Apple ID y vendido. Una investigación de Trustonic de 2024 rastreó iPhones robados en México y Europa hasta una bodega en Shenzhen. Algunos se revenden localmente; otros se exportan a mercados donde verificar el Bloqueo de activación es menos común.
Cuarto, y frecuentemente ignorado: tu Fototeca de iCloud, los iMessages respaldados en iCloud, Notas, contactos y las contraseñas guardadas en el Llavero de iCloud quedan accesibles. Para la mayoría de las personas, esta es la pérdida más grave. El hardware del celular es reemplazable. La extracción de datos es el segundo delito que nunca aparece en las estadísticas de robo.
Qué hacer si ya diste clic
Muévete rápido. La ventana entre el envío de credenciales y la eliminación del Bloqueo de activación es estrecha pero real.
- En cualquier dispositivo, abre appleid.apple.com inmediatamente. Inicia sesión con cualquier sesión que siga activa, o usa la recuperación de cuenta si ya cambiaron la contraseña.
- Ve a “Inicio de sesión y seguridad” y selecciona “Cambiar contraseña.” Usa una contraseña fuerte y única que nunca hayas usado en otro lugar.
- En “Dispositivos”, elimina todo dispositivo que no reconozcas. Eliminar un dispositivo cierra sesión en tu Apple ID al instante y reactiva el Bloqueo de activación si Buscar estaba activo.
- Activa una llave de seguridad física o una passkey en “Autenticación de dos factores” si tu cuenta todavía tiene los ajustes accesibles. Una llave física FIDO2 (YubiKey, Google Titan) no puede ser phisheada porque está vinculada criptográficamente al dominio de apple.com. Una retransmisión de credenciales a cualquier otro dominio falla silenciosamente.
- Revisa Fotos de iCloud, Notas y el Llavero en busca de señales de acceso: los registros de descarga no están disponibles para consumidores, pero si ves actividad reciente que no realizaste en los ajustes de iCloud, trátalo como una filtración de datos.
- Reporta el fraude ante la CONDUSEF (Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros) al 55-5340-0999. Si detectas movimientos bancarios no autorizados vinculados al robo de credenciales, CONDUSEF tiene facultad de mediar con tu institución financiera.
- Presenta una denuncia ante la Policía Cibernética CDMX al 55-5242-5100 ext. 5086, o ante la Unidad de Policía Cibernética de tu estado. El Art. 211 bis 1 del Código Penal Federal (CPF) tipifica el acceso ilícito a sistemas informáticos, que incluye el uso no autorizado de credenciales obtenidas mediante phishing.
- Contacta la FGR o tu fiscalía estatal para abrir carpeta de investigación. Lleva capturas del mensaje, la URL, el número del remitente y evidencia de la actividad no autorizada en tu cuenta.
- Llama a Apple Support al número de México en support.apple.com/es-mx/ y explica que pudiste haber ingresado credenciales en un sitio de phishing. Pueden poner una retención de seguridad en la cuenta y escalar al equipo de Confianza y Seguridad.
- Notifica a tu operadora (Telcel:
55-2581-3300; AT&T México:800-288-2020; Movistar:800-888-8366). Pide que bloqueen tu SIM y emitan una SIM nueva con el mismo número para evitar ataques de intercambio de SIM como segunda oleada. - Cambia cualquier contraseña guardada en el Llavero de iCloud que uses para cuentas financieras, correo o redes sociales. Trata el Llavero como comprometido.
Para lectores fuera de México
| País | Fraude / cibercrimen | Emergencia | Datos personales |
|---|---|---|---|
| Argentina | 0800-999-2347 (SIGEN línea fraude) | 911 | AAIP |
| Colombia | CAI Virtual | 123 | SIC |
| Chile | PDI Cibercrimen | 133 | Consejo para la Transparencia |
| Perú | Policía Cibernética | 105 | ANPD |
| España | 016 fraude; INCIBE 017 cibercrimen | 112 | AEPD |
Por qué Apple dice que NO debes borrar el celular de inmediato
Esto sorprende a la mayoría. El instinto tras un robo es borrar el equipo a distancia para que nadie acceda a tus datos. Ese instinto es incorrecto en la mayoría de los casos, y la propia guía de Apple en support.apple.com/es-mx/HT201441 lo refleja.
El motivo: cuando el Modo Perdido está activo y el Bloqueo de activación encendido, el celular es una caja cerrada que transmite su ubicación a Buscar y no puede configurarse sin tus credenciales. Borrarlo desde iCloud lo elimina de Buscar para siempre, apaga el beacon de ubicación y le entrega al atacante un equipo limpio que puede activar con un nuevo Apple ID. Hiciste su trabajo por él.
Mantén el Modo Perdido activo. La cadena del Bloqueo de activación es tu ventaja. La policía con una orden de recuperación y un pin de Find My en vivo puede recuperar el equipo. Varias ciudades, incluyendo Ciudad de México con sus unidades del C5, usan ubicaciones activas de Find My para recuperar dispositivos. Esa cadena se rompe en el momento en que presionas “Borrar.”
La única excepción: si el equipo contiene datos tan sensibles (expedientes médicos, comunicaciones profesionales confidenciales, credenciales financieras) que el riesgo de extracción supera el valor de recuperación, borra a distancia. Para la mayoría de los iPhones de uso personal con apps desbloqueadas por Face ID pero sin datos inusuales, el Modo Perdido es la mejor opción.
Patrones regionales de phishing: dónde golpea más fuerte
El phishing post-robo de iPhones no está distribuido de manera uniforme. Tres regiones dominan el patrón.
México y LATAM presentan un volumen creciente de smishing post-robo, particularmente en zonas con alta incidencia de robo de celulares: Metro CDMX, Tepito, Mercado Hidalgo en Tijuana, Plaza de la Electrónica en Monterrey. Los mensajes imitan el formato de Telcel y AT&T México además de Apple, aprovechando que el dueño a menudo intenta contactar a su operadora en los primeros minutos. El Programa Celular Seguro de Brasil (celularseguro.mj.gov.br), lanzado en diciembre de 2023, fue necesario precisamente porque mensajes de phishing comenzaron a suplantar al propio programa gubernamental.
India genera el mayor volumen reportado de SMS de phishing post-robo enviados a propietarios en países de habla inglesa. Un patrón común: un iPhone robado mientras el propietario viajaba llega a India en días. El propietario recibe mensajes de números con +91 que dicen ser “Apple Support India.” El Internet and Mobile Association of India estimó que 1.77 mil millones de SMS fraudulentos fueron enviados en India en 2023.
Brasil es el segundo mercado por volumen para phishing de celulares robados. Brasil registró un estimado de 1 millón de robos de celulares en 2023 según el FBSP (Fórum Brasileiro de Segurança Pública).
China es principalmente un mercado de destino. Los mercados mayoristas de Shenzhen y Guangzhou aceptan dispositivos con Bloqueo de activación desbloqueado a un precio significativamente mayor que los bloqueados, lo que sostiene el incentivo económico para el robo de credenciales.
Dónde acaban los celulares robados
Si acabas de recibir un mensaje sospechoso de Buscar: 8 pasos
Hazlos en orden, antes de cualquier otra cosa.
- No des clic al enlace. Ni para inspeccionarlo. En celular, una URL maliciosa puede activar una cadena de redirecciones que comienza a cargar una página de captura de credenciales antes de que veas el dominio.
- Toma captura del mensaje con la información completa del remitente visible. La necesitarás para el reporte ante la policía y la CONDUSEF.
- Abre otro dispositivo (laptop, tablet, celular prestado) y ve directamente a icloud.com/find escribiendo la URL. No sigas ningún enlace del mensaje.
- Verifica que el Modo Perdido siga activo. Si tu dispositivo todavía aparece como Perdido en el mapa real de iCloud, el Bloqueo de activación está funcionando. El mensaje de phishing aún no tuvo éxito.
- No desactives Buscar ni el Modo Perdido por ningún motivo que indique un mensaje. Este es el objetivo central del intento de phishing.
- Revisa tu Apple ID en busca de sesiones no reconocidas en appleid.apple.com bajo “Dispositivos.” Si ves un dispositivo que no reconoces agregado recientemente, elimínalo inmediatamente.
- Reporta el mensaje de phishing a Apple enviándolo a reportphishing@apple.com (correo) o en reportfraud.ftc.gov para SMS. En México, también puedes reportarlo a la Policía Cibernética CDMX.
- Contacta a tu operadora para confirmar que tu SIM no fue interceptada. Los ataques de intercambio de SIM a veces siguen al phishing del Bloqueo de activación cuando el intento principal falla, porque una SIM intercambiada puede interceptar el código de doble factor enviado a tu número.
Cómo rastrear por IMEI para evidencia policial
El manual de phishing post-robo de iPhone no ha cambiado sustancialmente desde que se lanzó el Bloqueo de activación, porque la economía no ha cambiado. Un iPhone desbloqueado vale diez veces uno bloqueado. El phishing es barato. El pánico es predecible. La defensa es sencilla pero requiere conocer el manual antes de que te lo apliquen: nunca des clic a un enlace en un mensaje sobre tu celular robado, ve directamente a icloud.com, mantén el Modo Perdido activo y usa una llave de seguridad física si puedes. El Bloqueo de activación está haciendo su trabajo mientras no lo desactives.
Preguntas frecuentes
Lo que más nos preguntan
7 preguntas · Actualizado may 2026