Una investigación revelada a Publimetro México por el grupo de hackers Mexican Mafia expuso un sofisticado modus operandi utilizado para desbloquear celulares robados en la Ciudad de México en el que estarían coludidos tanto delincuentes como negocios de plazas de tecnología.
Este esquema no solo implica el robo de dispositivos en las calles de la ciudad, sino también el uso de ingeniería social, phishing y una red de negocios que rentan la infraestructura tecnológica para realizar estos desbloqueos mediante un sistema que ya suma miles de víctimas.
El sistema fraudulento, operado a través de un servidor llamado panther-servermx.com, está diseñado para engañar a las víctimas de robo haciéndose pasar por marcas reconocidas como iShop Mixup. Los atacantes envían mensajes a los números asociados con cuentas iCloud de los celulares robados.
En los mensajes, los asesores falsos solicitan a las víctimas que ingresen sus credenciales en sitios web falsos como ishopmexico-reclamaciones.com. Estos datos luego son utilizados para desbloquear los dispositivos y ponerlos nuevamente en el mercado.
Según los datos proporcionados, al menos 1,063 personas han caído en esta estafa, mientras que otros 1,034 celulares robados aún no han sido desbloqueados, es decir, se tiene un registro de más de 2 mil celulares robados que han sido procesados en este sistema.
El corazón del esquema: un panel centralizado de phishing
El grupo de hackers que reveló la información a Publimetro México explicó que —después de dar seguimiento al caso de una de las víctimas— logró vulnerar el servidor utilizado por esta red, exponiendo una infraestructura compleja que incluye:
- Una base de datos con información de celulares robados, como IMEI, números telefónicos y correos electrónicos.
- Plantillas automatizadas para enviar mensajes de phishing vía SMS y correo electrónico.
- Registros detallados de dispositivos bloqueados y desbloqueados, usados para coordinar operaciones.
Lo más preocupante es que —según la investigación de los perfiles asociados— esta plataforma se renta a negocios ubicados en plazas tecnológicas como Los Reyes La Paz, donde locales dedicados a la reparación y desbloqueo de dispositivos la utilizan para acceder ilegalmente a los datos y desbloquear celulares. Estos mismos locales publicitan abiertamente sus servicios bajo frases como “te desbloqueo tu iPhone”.
Ingeniería social y phishing: la trampa perfecta
El primer paso del esquema consiste en enviar mensajes de texto o WhatsApp a las personas que sufrieron del robo de su equipo haciéndose pasar por servicios oficiales de marcas tecnológicas. En estos mensajes, las víctimas son alertadas de que su teléfono está en proceso de desbloqueo y se les pide que confirmen su propiedad ingresando a un enlace falso. Una vez que los usuarios introducen sus datos de iCloud, los atacantes obtienen acceso completo al dispositivo.
El hacker, quien mostró evidencia de haber ingresado al sistema de los delincuentes, informó que al realizar un análisis de OSINT (Inteligencia de fuentes abiertas) y explotar vulnerabilidades en el sitio web falso, logró identificar al administrador del servidor, conocido como Panther2k24, quien no solo organiza el sistema, sino que lo renta a múltiples clientes —la mayoría que trabajan en negocios de desbloqueo de celulares— que operan con el mismo método.
Asimismo, identificaron la cuenta de Facebook del administrador del sistema, quien bajo el seudónimo de Choqko Gonzalezz, presume —sin dar mayor información— los beneficios que tiene utilizar la plataforma, misma que incluye entre sus apartados un segmento en el que identifica claramente a las personas afectadas como “víctimas”.
