La red que facilita el desbloqueo de dispositivos móviles robados en la Ciudad de México —y que fue reportada el pasado 21 de noviembre por Publimetro México— ha estado operando en el país, al menos, desde 2019, de acuerdo con una investigación que liga a los administradores con locales que se encuentran en diversos puntos de la capital mexicana.
Según nuevas evidencias, obtenidas a través del analista en ciberseguridad Nicolás Azuara, esta red tendría raíces más profundas de lo que se pensaba. Las investigaciones revelan que este grupo habría estado operando desde hace cinco años bajo diferentes nombres y plataformas, incluyendo una conocida como FYS Unlock, la cual incluso utilizaba redes sociales para promocionar sus servicios.
Panther Server, una operación sofisticada desde sus inicios
Las muestras analizadas señalan que el grupo detrás de estas operaciones —relacionadas con más de 2 mil celulares robados— ofrecía desde entonces servicios avanzados, como desbloqueos de iCloud, recuperación de señales de operadoras como Telcel y AT&T, y otras manipulaciones de dispositivos. Además, se detectaron paneles de usuario donde registraban ingresos superiores a $200,000 MXN, lo que evidencia un negocio lucrativo y altamente demandado.
Uno de los datos más reveladores es que estos servicios no se limitaban al mercado clandestino; en plataformas como Twitter, la cuenta de FYS Unlock promovía abiertamente sus capacidades. Una publicación fechada en mayo de 2020 invitaba a los clientes a contratar su servicio con plazos de respuesta de apenas 1 a 5 días.
Migración de nombres y dominios de la red delincuencial
Conforme las investigaciones avanzan, se ha identificado que este grupo delictivo ha cambiado de nombres y plataformas a lo largo del tiempo. Registros de dominios muestran que operaron inicialmente bajo “fysunlock.net”, registrado en 2019, para después migrar a nuevos dominios como “find-mycloud.us”, “wolf-mx.com”, y el más reciente, Panther Server. Este último es la evolución más actual del sistema, con un panel mejorado que ofrece desbloqueos avanzados de celulares robados y nuevas herramientas, como “GSM Jail Break Panther Tool” y “iCloud OFF Call en Vivo”.
Los registros WHOIS revelan conexiones entre estos dominios y un mismo grupo de personas, algunas veces identificadas como “Emmanuel Pérez” o bajo seudónimos protegidos por servicios de privacidad. Esta estrategia ha permitido mantener la operación a pesar de los riesgos legales asociados.
¿Cómo opera el software ilegal de desbloqueo de teléfonos robados?
El modus operandi de esta red comienza con el robo de teléfonos celulares, los cuales son llevados a locales de desbloqueo. Estos locales no actúan solos, sino que rentan el acceso a plataformas digitales especializadas, como Panther Server.
Estas plataformas proporcionan herramientas para engañar a las víctimas mediante el envío masivo de SMS, correos electrónicos y llamadas telefónicas que simulan provenir de empresas legítimas, como Apple o servicios de telecomunicaciones. El objetivo principal es obtener mediante ingeniería social las credenciales necesarias para desbloquear los equipos y borrar cualquier rastro que permita rastrear el dispositivo.
Una vez que las víctimas caen en el engaño y proporcionan sus datos, los desbloqueadores utilizan las plataformas para restablecer los equipos a su configuración de fábrica, eliminando cuentas y bloqueos asociados.
Los dispositivos quedan listos para ser revendidos en mercados secundarios, generando ingresos constantes tanto para los locales de desbloqueo como para los operadores de la plataforma. Este esquema se sostiene por la facilidad con la que las herramientas digitales permiten automatizar procesos y por la falta de supervisión efectiva sobre estos servicios.
