La frase «El vostre compte d'iCloud està sota atac» ha deixat de ser un simple avís genèric per convertir-se en la punta de l?iceberg d?una campanya d?espionatge digital a gran escala. Investigacions recents han destapat com xarxes de ciberdelinqüents estan explotant l'accés a còpies de seguretat d'iCloud per vigilar perfils especialment sensibles.
Lluny de tractar-se d'atacs aïllats, parlem de operacions d'hackeig per encàrrec dirigides contra periodistes, activistes i funcionaris públics de diverses regions del món, entre elles Europa. Aquests grups combinen el robatori de credencials d'Apple ID i l'accés a iCloud amb la instal·lació de programari espia a mòbils Android, aconseguint així una visió gairebé total de la vida digital de les seves víctimes.
Un nou front: quan l?avís d?iCloud amaga un intent d?espionatge
El missatge que el vostre compte d'iCloud està sota atac sol arribar camuflat a correus o missatges de text molt convincents, dissenyats per semblar comunicacions legítimes dApple. L'objectiu és senzill: empènyer l'usuari a introduir l'Apple ID i la contrasenya en una pàgina falsa que els atacants controlen.
A partir d'aquí, el grup té via lliure per accedir a les còpies de seguretat d'iCloud, on s'emmagatzema gran part del contingut de l'iPhone o iPad: fotos, contactes, historial de trucades, missatges, documents i, en molts casos, dades d'apps de missatgeria. Aquest model datac s'ha consolidat com una alternativa més barata a l'ús de spyware sofisticat per a iOS.
Investigadors d'organitzacions especialitzades en drets digitals, com ara Access Now i SMEX, juntament amb la firma de ciberseguretat Lookout, han documentat diversos incidents en què aquesta estratègia s'ha utilitzat per comprometre els comptes d'iCloud de víctimes seleccionats. Encara que molts dels casos es concentren a l'Orient Mitjà i al nord d'Àfrica, també s'han identificat objectius al Regne Unit i se sospita de possibles connexions amb institucions dels Estats Units.
La combinació d'enginyeria social i accés remot a còpies de seguretat fa que, a la pràctica, els atacants puguin monitoritzar gran part de l'activitat del dispositiu sense necessitat de tenir-lo físicament a les mans. Per a un periodista o un activista, això vol dir exposar fonts, contactes sensibles i converses privades.
Qui està darrere dels atacs a iCloud: el negoci de l'hackeig per encàrrec
Darrere d'aquests avisos que el vostre compte d'iCloud està sota atac no hi sol haver aficionats solitaris, sinó estructures organitzades que operen com a veritables empreses de serveis. Es tracta de proveïdors de pirateig per encàrrec que, segons les investigacions, treballen per a diferents clients, inclosos governs i actors vinculats a institucions estatals.
Lookout ha vinculat part d'aquesta activitat a un ecosistema de companyies amb connexions al grup BITTER APT, sospitós de mantenir llaços amb el govern de l'Índia. Després del tancament de la firma de ciberespionatge Appin, que va arribar a ser assenyalada públicament per les activitats, alguns d'aquests actors haurien derivat a empreses més petites i discretes, com RebSec.
Aquest model aporta als clients una “negació plausible”: les operacions tècniques, la infraestructura i les eines estan en mans del proveïdor, cosa que dificulta rastrejar qui encarrega realment l'atac. Per a un govern o una entitat privada, externalitzar l'espionatge digital pot sortir més econòmic que comprar llicències de programari espia comercial d'alta gamma.
Segons els experts consultats en aquestes investigacions, el resultat és un mercat en expansió on l'accés il·legal a comptes d'iCloud i serveis de missatgeria s?ofereix gairebé com si fos un servei més. L'anonimat relatiu, unit als costos més baixos, facilita que més actors s'animin a utilitzar aquestes eines.
Objectius prioritaris: periodistes, activistes i funcionaris
Els atacs que comencen amb l'avís que el vostre compte d'iCloud està sota atac no afecten per igual tota la població. La majoria dels casos documentats tenen alguna cosa en comú: es dirigeixen a perfils amb capacitat dinfluència pública o accés a informació sensible.
Entre les víctimes figuren principalment periodistes de recerca, activistes de drets humans i funcionaris governamentals. Access Now ha documentat incidents que van afectar almenys dos periodistes egipcis i un periodista libanès, en col·laboració amb l'organització regional SMEX.
Les zones més afectades inclouen països del Pròxim Orient i Nord d'Àfrica, com Egipte, Líban, Baréin, Unió dels Emirats Àrabs Units i Aràbia Saudita. Tot i això, els investigadors també han detectat objectius a Europa, amb casos relacionats amb el Regne Unit, a més de possibles víctimes vinculades a estructures nord-americanes.
Aquest patró geogràfic suggereix l'ús de l'espionatge digital com eina de vigilància política i social. Els atacants no busquen tant robar diners o bloquejar dispositius per demanar un rescat, sinó accedir a informació estratègica: contactes, agendes, continguts de missatgeria i documents.
Per a les víctimes, les conseqüències van més enllà de la pèrdua de privadesa. Un accés persistent a iCloud oa serveis de missatgeria pot posar en perill fonts confidencials, familiars i col·laboradors, així com alterar el treball periodístic o dincidència social.
Com usen iCloud i iPhone en els atacs: del phishing a l'accés total
La porta d'entrada més freqüent quan apareix un suposat avís que el vostre compte d'iCloud està sota atac és el phishing: correus electrònics, missatges SMS o enllaços que redirigeixen a llocs falsos molt semblants als d'Apple. En aquestes pàgines fraudulentes se sol·licita introduir les credencials d'Apple ID.
Quan els atacants obtenen usuari i contrasenya, poden iniciar sessió al compte d'iCloud de la víctima, descarregar les còpies de seguretat i, en alguns casos, modificar ajustaments de seguretat. Això us dóna accés a un historial complet de l'activitat del dispositiu, encara que el mòbil s'actualitzi o es restableixi.
Access Now subratlla que aquesta tècnica és especialment atractiva perquè suposa un cost molt inferior al d'explotar vulnerabilitats avançades a iOS. En lloc d'invertir en eines cares i complexes, els grups d'hackeig per encàrrec es recolzen en la ingenuïtat o la distracció dels usuaris.
A més, l'accés perllongat a iCloud permet als atacants demanar informació de forma silenciosa i sostinguda, sense necessitat de llançar atacs continus. Cada còpia de seguretat nova pot aportar dades addicionals sobre contactes, ubicacions recents o noves converses.
Android també al punt de mira: el paper del programari espia
Mentre a l'ecosistema Apple el focus és al missatge que el vostre compte d'iCloud està sota atac i el robatori de credencials, en dispositius Android lestratègia es complementa amb la instal lació de programari espia. Una de les eines identificades pels investigadors és ProSpy.
ProSpy es distribueix com si fos una aplicació de missatgeria o comunicació legítima, imitant noms i dissenys de apps populars com Signal, WhatsApp, Zoom, ToTok o Botim, molt utilitzades en certes regions. L'usuari creu que està instal·lant una app coneguda, però en realitat està donant control als atacants.
Un cop actiu, aquest tipus de programari espia pot registrar pulsacions, accedir a missatges, contactes, micròfon i càmera, a més d'enviar la informació recopilada a servidors controlats pels ciberdelinqüents. A la pràctica, el mòbil es converteix en un dispositiu d'escolta i seguiment permanent.
En alguns casos, els atacants també han intentat registrar un nou dispositiu sota el seu control al compte de Signal de la víctima. Aquesta tàctica, observada anteriorment en campanyes atribuïdes a agents russos, permet rebre una còpia de les converses sense que lusuari principal noti canvis evidents.
La combinació d'accés a iCloud a iPhone i spyware a Android proporciona aquests grups una cobertura gairebé completa de l'entorn digital dels objectius, independentment del sistema operatiu que utilitzin diàriament.
Per què és tan difícil saber qui està atacant el vostre compte d'iCloud
Un dels reptes més grans que plantegen aquestes campanyes és la dificultat per atribuir amb precisió qui està realment darrere del missatge que el vostre compte d'iCloud està sota atac. L'estructura de proveïdors de hackeig per encàrrec està dissenyada precisament per diluir responsabilitats.
Mohammed Al-Maskati, responsable de la línia d'ajuda en seguretat digital d'Access Now, explica que l'externalització d'aquestes operacions redueix costos i amaga el client final, ja que la infraestructura tècnica no revela qui ha encarregat la feina. Els servidors, dominis i eines són a nom de les empreses proveïdores, que sovint operen amb identitats corporatives opaques.
Tot i que grups com BITTER APT no disposen sempre de les plataformes més avançades del mercat, els mètodes s'han mostrat prou eficaços per comprometre sectors clau. L'equilibri entre el cost, la simplicitat i el resultat ha fet que aquest model s'estengui amb rapidesa.
Les ambaixades i les autoritats d'alguns països assenyalats en les investigacions, com la de l'Índia a Washington DC, han evitat pronunciar-se públicament sobre aquestes acusacions, cosa que complica encara més la tasca d'atribució formal. Cada organització implicada en l'anàlisi -Access Now, SMEX i Lookout- ha publicat les seves troballes per separat, coordinant temps però mantenint informes propis.
Aquest context deixa periodistes, activistes, funcionaris i, en general, usuaris de serveis com iCloud davant d'un escenari on resulta difícil identificar el responsable últim de l'atac, fins i tot quan s'aconsegueix descobrir que el compte ha estat compromès.
Un fenomen en expansió i què poden fer els usuaris
Els experts coincideixen que lús del missatge que el vostre compte d'iCloud està sota atac com a ganxo per a campanyes d'espionatge només és una part d'un fenomen més ampli: la normalització de l'espionatge digital de baix cost. Cada cop és més senzill per a governs i actors privats contractar aquest tipus de serveis amb alts nivells d'anonimat.
L'impacte es deixa sentir especialment en sectors com el periodisme, l'activisme social i les administracions públiques, on la filtració dinformació sensible pot tenir conseqüències polítiques, legals i fins i tot personals. No obstant això, qualsevol ciutadà que utilitzi iCloud o apps de missatgeria populars es pot convertir en un objectiu potencial, especialment si maneja dades valuoses per a tercers.
Davant aquest panorama, els especialistes recomanen extremar les precaucions: desconfiar de correus i missatges que afirmin que el compte d'iCloud està sota atac, revisar sempre l'adreça web abans d'introduir credencials i activar mesures addicionals com l'autenticació en dues passes.
També resultat clau mantenir els dispositius actualitzats, instal·lar aplicacions només des de botigues oficials i revisar periòdicament els inicis de sessió i dispositius associats a comptes com ara Apple ID o Signal. Tot i que aquestes accions no garanteixen una protecció absoluta, sí que eleven considerablement la barrera d'entrada davant de molts atacs.
La realitat que dibuixen aquestes investigacions és la d'un entorn digital on els avisos que el vostre compte d'iCloud està sota atac poden ser tant una alerta legítima com l'inici d'un engany ben construït. Entendre com operen aquests grups, a qui apunten i quines eines fan servir s'ha convertit en una peça essencial per protegir la privadesa i la seguretat digital en un moment en què l'espionatge a mida és a l'abast de cada cop més actors.
