Aaron Johnson, un ladrón de iPhones condenado, reveló desde la prisión de máxima seguridad en Minnesota cómo explotó una vulnerabilidad en el software de Apple para robar cientos de dispositivos y saquear ahorros significativos de sus víctimas. Johnson y su grupo delictivo operaron en Minneapolis, vigilando a propietarios de iPhone para aprender sus códigos de acceso, robar sus teléfonos y vaciar sus cuentas bancarias, antes de vender los dispositivos. Este esquema funcionó durante al menos un año entre 2021 y 2022, contó en una entrevista con The Wall Street Journal.
Johnson, de 26 años, cumple condena por su participación en una serie de robos que causaron grave daño financiero y emocional a sus víctimas. Al obtener el código de acceso, bloqueaba a los usuarios de sus cuentas de Apple y sustraía miles de dólares a través de aplicaciones bancarias. “Ya estoy cumpliendo condena. Siento que debería intentar estar al otro lado de las cosas e intentar ayudar a la gente” dijo al diario.
Nativo de Minneapolis, Johnson se declaró culpable de extorsión después de acumular ilícitamente cerca de 300.000 dólares mediante la sustracción y manipulación de teléfonos móviles. El esquema delictivo, que descubrió tras aprender a desbloquear dispositivos electrónicos, le acarreó una condena de 94 meses de prisión.
El modus operandi
Inicialmente, Johnson comenzó su actividad criminal mediante el hurto de carteras en las calles de la ciudad, ya que se encontraba sin hogar y con la necesidad de sustentar a sus hijos. “No tenía casa”, contó. “Empecé a tener hijos y necesitaba dinero. No encontraba trabajo. Así que eso fue lo que hice”.
Según relató, su transición a los delitos informáticos se dio al percatarse del potencial que tenían los teléfonos que robaba. Fue mediante experimentación nocturna que Johnson descubrió cómo utilizar los códigos de acceso como llave a los servicios protegidos de los aparatos.
El modus operandi de Johnson consistía en ganarse la confianza de las víctimas con su actitud amigable y enérgica para luego pedirles sus teléfonos con la excusa de añadir su información en Snapchat. “Ya están borrachos y no saben lo que pasa de verdad” dijo, y ese era el momento de ejecutar su plan. “Les decía: ‘Oye, tu teléfono está bloqueado. ¿Cuál es la contraseña? Me decían: ‘2-3-4-5-6′, o algo así. Y entonces lo recordaba”.
Una vez obtenido el código de desbloqueo, cambiaba rápidamente la contraseña del Apple ID y desactivaba la función “Buscar mi iPhone”, imposibilitando a los dueños rastrear el dispositivo. Con acceso a Face ID y la iCloud Keychain, Johnson transfería fondos de las aplicaciones financieras y realizaba compras con Apple Pay.
Los dispositivos robados eran reseteados y vendidos a su cómplice, Zhongshuang “Brandon” Su, quien luego los comercializaba en el extranjero. Johnson mostró preferencia por los iPhones, en especial los modelos Pro Max con un terabyte de almacenamiento, debido a su mayor valor de reventa. En un fin de semana, Johnson podría vender hasta 30 dispositivos y generar aproximadamente 20.000 dólares, sin contar el dinero obtenido ilegalmente de las cuentas de las víctimas.
El arresto de Johnson y otros 11 miembros de su grupo fue efectuado por el Departamento de Policía de Minneapolis basándose en estas actividades ilícitas. En su declaración, Johnson admitió haberse dejado llevar por la emoción de obtener “grandes cantidades de dinero de una sola vez”, lo que eventualmente lo llevó a un comportamiento cada vez más arriesgado y a su detención. Su cómplice, Zhongshuang “Brandon” Su, fue condenado por recibir propiedad robada y vendía los teléfonos sustraídos en el extranjero.
Cómo prevenir este tipo de robos
Recientemente Apple comunicó la implantación de una nueva característica de seguridad denominada Stolen Device Protection, que promete mejorar la seguridad de los dispositivos frente a robos. Para cambiar la contraseña del Apple ID, los ladrones requerirían de un escaneo biométrico de Face ID o Touch ID. Asimismo, se introdujo un retraso de una hora antes de solicitar otro escaneo biométrico para añadir un nuevo Face ID y desactivar Find My iPhone.
A pesar de las mejoras en Stolen Device Protection, ciertas actividades como el acceso a contraseñas guardadas en iCloud Keychain o el borrado del iPhone podrán realizarse sin retraso alguno, siempre y cuando se disponga del Face ID o Touch ID. Estas medidas podrán desanimar a criminales de bajo perfil, aunque sigue existiendo la amenaza de que delincuentes con objetivos más grandes superen estas barreras de seguridad mediante secuestro.
Restan brechas que permitirían a un ladrón con acceso al código de acceso realizar compras con Apple Pay o acceder a aplicaciones desprotegidas, como correo electrónico, Venmo, PayPal y otras. Por esto, se aconseja a los usuarios crear códigos de acceso específicos para aplicaciones financieras, eliminar registros personales de la vista, como contraseñas o números de seguridad social, y optar por administradores de contraseñas seguros como Dashlane o 1Password. Además, se recomienda fortalecer el código de acceso del iPhone mediante el uso de letras y números.