La frase «su cuenta de iCloud está bajo ataque» ha dejado de ser un simple aviso genérico para convertirse en la punta del iceberg de una campaña de espionaje digital a gran escala. Investigaciones recientes han destapado cómo redes de ciberdelincuentes están explotando el acceso a copias de seguridad de iCloud para vigilar a perfiles especialmente sensibles.
Lejos de tratarse de ataques aislados, hablamos de operaciones de hackeo por encargo dirigidas contra periodistas, activistas y funcionarios públicos de varias regiones del mundo, entre ellas Europa. Estos grupos combinan el robo de credenciales de Apple ID y el acceso a iCloud con la instalación de software espía en móviles Android, logrando así una visión casi total de la vida digital de sus víctimas.
Un nuevo frente: cuando el aviso de iCloud esconde un intento de espionaje
El mensaje de que su cuenta de iCloud está bajo ataque suele llegar camuflado en correos o mensajes de texto muy convincentes, diseñados para parecer comunicaciones legítimas de Apple. El objetivo es sencillo: empujar al usuario a introducir su Apple ID y su contraseña en una página falsa que los atacantes controlan.
A partir de ahí, el grupo tiene vía libre para acceder a las copias de seguridad de iCloud, donde se almacena gran parte del contenido del iPhone o el iPad: fotos, contactos, historial de llamadas, mensajes, documentos y, en muchos casos, datos de apps de mensajería. Este modelo de ataque se ha consolidado como una alternativa más barata al uso de spyware sofisticado para iOS.
Investigadores de organizaciones especializadas en derechos digitales, como Access Now y SMEX, junto con la firma de ciberseguridad Lookout, han documentado varios incidentes en los que esta estrategia se ha utilizado para comprometer las cuentas de iCloud de víctimas seleccionadas. Aunque muchos de los casos se concentran en Oriente Medio y el norte de África, también se han identificado objetivos en Reino Unido y se sospecha de posibles conexiones con instituciones estadounidenses.
La combinación de ingeniería social y acceso remoto a copias de seguridad hace que, en la práctica, los atacantes puedan monitorizar una gran parte de la actividad del dispositivo sin necesidad de tenerlo físicamente en sus manos. Para un periodista o un activista, eso significa exponer fuentes, contactos sensibles y conversaciones privadas.
Quién está detrás de los ataques a iCloud: el negocio del hackeo por encargo
Detrás de estos avisos de que su cuenta de iCloud está bajo ataque no suele haber aficionados solitarios, sino estructuras organizadas que operan como verdaderas empresas de servicios. Se trata de proveedores de hackeo por encargo que, según las investigaciones, trabajan para distintos clientes, incluidos gobiernos y actores vinculados a instituciones estatales.
Lookout ha vinculado parte de esta actividad a un ecosistema de compañías con conexiones al grupo BITTER APT, sospechoso de mantener lazos con el gobierno de la India. Tras el cierre de la firma de ciberespionaje Appin, que llegó a ser señalada públicamente por sus actividades, algunos de estos actores habrían derivado a empresas más pequeñas y discretas, como RebSec.
Este modelo aporta a los clientes una “negación plausible”: las operaciones técnicas, la infraestructura y las herramientas están en manos del proveedor, lo que dificulta rastrear quién encarga realmente el ataque. Para un gobierno o una entidad privada, externalizar el espionaje digital puede salir más económico que comprar licencias de spyware comercial de alta gama.
Según los expertos consultados en estas investigaciones, el resultado es un mercado en expansión donde el acceso ilegal a cuentas de iCloud y servicios de mensajería se ofrece casi como si fuera un servicio más. El anonimato relativo, unido a los menores costes, está facilitando que más actores se animen a utilizar estas herramientas.
Objetivos prioritarios: periodistas, activistas y funcionarios
Los ataques que comienzan con el aviso de que su cuenta de iCloud está bajo ataque no afectan por igual a toda la población. La mayoría de los casos documentados tienen algo en común: se dirigen a perfiles con capacidad de influencia pública o acceso a información sensible.
Entre las víctimas figuran principalmente periodistas de investigación, activistas de derechos humanos y funcionarios gubernamentales. Access Now ha documentado incidentes que afectaron al menos a dos periodistas egipcios y a un periodista libanés, en colaboración con la organización regional SMEX.
Las zonas más afectadas incluyen países del Próximo Oriente y el Norte de África, como Egipto, Líbano, Baréin, Emiratos Árabes Unidos y Arabia Saudita. Sin embargo, los investigadores también han detectado objetivos en Europa, con casos relacionados con el Reino Unido, además de posibles víctimas vinculadas a estructuras estadounidenses.
Este patrón geográfico sugiere el uso del espionaje digital como herramienta de vigilancia política y social. Los atacantes no buscan tanto robar dinero o bloquear dispositivos para pedir un rescate, sino acceder a información estratégica: contactos, agendas, contenidos de mensajería y documentos.
Para las víctimas, las consecuencias van más allá de la pérdida de privacidad. Un acceso persistente a iCloud o a servicios de mensajería puede poner en peligro a fuentes confidenciales, familiares y colaboradores, así como alterar el trabajo periodístico o de incidencia social.
Cómo usan iCloud e iPhone en los ataques: del phishing al acceso total
La puerta de entrada más frecuente cuando aparece un supuesto aviso de que su cuenta de iCloud está bajo ataque es el phishing: correos electrónicos, mensajes SMS o enlaces que redirigen a sitios falsos muy similares a los de Apple. En estas páginas fraudulentas se solicita introducir las credenciales de Apple ID.
Una vez que los atacantes obtienen usuario y contraseña, pueden iniciar sesión en la cuenta de iCloud de la víctima, descargar las copias de seguridad y, en algunos casos, modificar ajustes de seguridad. Esto les da acceso a un historial completo de la actividad del dispositivo, incluso aunque el móvil se actualice o se restablezca.
Access Now subraya que esta técnica es especialmente atractiva porque supone un coste muy inferior al de explotar vulnerabilidades avanzadas en iOS. En lugar de invertir en herramientas caras y complejas, los grupos de hackeo por encargo se apoyan en la ingenuidad o el descuido de los usuarios.
Además, el acceso prolongado a iCloud permite a los atacantes recabar información de forma silenciosa y sostenida, sin necesidad de lanzar ataques continuos. Cada nueva copia de seguridad puede aportar datos adicionales sobre contactos, ubicaciones recientes o nuevas conversaciones.
Android también en el punto de mira: el papel del software espía
Mientras en el ecosistema Apple el foco está en el mensaje de que su cuenta de iCloud está bajo ataque y el robo de credenciales, en dispositivos Android la estrategia se complementa con la instalación de software espía. Una de las herramientas identificadas por los investigadores es ProSpy.
ProSpy se distribuye como si fuera una aplicación de mensajería o comunicación legítima, imitando nombres y diseños de apps populares como Signal, WhatsApp, Zoom, ToTok o Botim, muy utilizadas en ciertas regiones. El usuario cree estar instalando una app conocida, pero en realidad está dando control a los atacantes.
Una vez activo, este tipo de software espía puede registrar pulsaciones, acceder a mensajes, contactos, micrófono y cámara, además de enviar la información recopilada a servidores controlados por los ciberdelincuentes. En la práctica, el móvil se convierte en un dispositivo de escucha y seguimiento permanente.
En algunos casos, los atacantes también han intentado registrar un nuevo dispositivo bajo su control en la cuenta de Signal de la víctima. Esta táctica, observada anteriormente en campañas atribuidas a agentes rusos, permite recibir una copia de las conversaciones sin que el usuario principal note cambios evidentes.
La combinación de acceso a iCloud en iPhone y spyware en Android proporciona a estos grupos una cobertura casi completa del entorno digital de sus objetivos, independientemente del sistema operativo que utilicen a diario.
Por qué es tan difícil saber quién está atacando su cuenta de iCloud
Uno de los mayores retos que plantean estas campañas es la dificultad para atribuir con precisión quién está realmente detrás del mensaje de que su cuenta de iCloud está bajo ataque. La estructura de proveedores de hackeo por encargo está diseñada precisamente para diluir responsabilidades.
Mohammed Al-Maskati, responsable de la línea de ayuda en seguridad digital de Access Now, explica que la externalización de estas operaciones reduce costes y oculta al cliente final, ya que la infraestructura técnica no revela quién ha encargado el trabajo. Los servidores, dominios y herramientas están a nombre de las empresas proveedoras, que a menudo operan con identidades corporativas opacas.
Aunque grupos como BITTER APT no disponen siempre de las plataformas más avanzadas del mercado, sus métodos se han mostrado lo suficientemente eficaces como para comprometer a sectores clave. El equilibrio entre coste, simplicidad y resultado ha hecho que este modelo se extienda con rapidez.
Las embajadas y autoridades de algunos países señalados en las investigaciones, como la de India en Washington D. C., han evitado pronunciarse públicamente sobre estas acusaciones, lo que complica aún más la tarea de atribución formal. Cada organización implicada en el análisis —Access Now, SMEX y Lookout— ha publicado sus hallazgos por separado, coordinando tiempos pero manteniendo informes propios.
Este contexto deja a periodistas, activistas, funcionarios y, en general, a usuarios de servicios como iCloud ante un escenario en el que resulta difícil identificar al responsable último del ataque, incluso cuando se logra descubrir que la cuenta ha sido comprometida.
Un fenómeno en expansión y qué pueden hacer los usuarios
Los expertos coinciden en que el uso del mensaje de que su cuenta de iCloud está bajo ataque como gancho para campañas de espionaje es solo una parte de un fenómeno más amplio: la normalización del espionaje digital de bajo coste. Cada vez es más sencillo para gobiernos y actores privados contratar este tipo de servicios con altos niveles de anonimato.
El impacto se deja sentir especialmente en sectores como el periodismo, el activismo social y las administraciones públicas, donde la filtración de información sensible puede tener consecuencias políticas, legales e incluso personales. Sin embargo, cualquier ciudadano que use iCloud o apps de mensajería populares puede convertirse en un objetivo potencial, especialmente si maneja datos valiosos para terceros.
Ante este panorama, los especialistas recomiendan extremar las precauciones: desconfiar de correos y mensajes que afirmen que la cuenta de iCloud está bajo ataque, revisar siempre la dirección web antes de introducir credenciales y activar medidas adicionales como la autenticación en dos pasos.
También resulta clave mantener los dispositivos actualizados, instalar aplicaciones solo desde tiendas oficiales y revisar periódicamente los inicios de sesión y dispositivos asociados a cuentas como Apple ID o Signal. Aunque estas acciones no garantizan una protección absoluta, sí elevan considerablemente la barrera de entrada frente a muchos ataques.
La realidad que dibujan estas investigaciones es la de un entorno digital en el que los avisos de que su cuenta de iCloud está bajo ataque pueden ser tanto una alerta legítima como el inicio de un engaño bien construido. Entender cómo operan estos grupos, a quién apuntan y qué herramientas utilizan se ha convertido en una pieza esencial para proteger la privacidad y la seguridad digital en un momento en el que el espionaje a medida está al alcance de cada vez más actores.
