En marzo de 2017, un joven llamado Kerem Albayrak envió un e-mail a la división de Apple Security en el que afirmaba ser capaz de acceder a más de 300 millones de cuentas de iCloud. El objetivo era evidente, extorsionar a la compañía de Cupertino, exigiendo 75.000 dólares en criptomonedas o un total de 100.000 dólares en tarjetas de iTunes.
Quince días más tarde, y tras no recibir ninguna respuesta por parte de la compañía, Kerem envió un vídeo a Youtube en el que supuestamente hackeaba dos cuentas de iCloud aleatorias. El joven de origen turco también hizo llegar este vídeo a diversos medios de comunicación de todo el mundo, en un intento de hacer más efectiva su amenaza y forzar a Apple a aceptar su extorsión.
La respuesta de Apple fue contundente, y es que la empresa de Cupertino se negó a llevar a cabo cualquier tipo de negociación con este ciberdelincuente. Ante tal reacción, Kerem amenazó también con borrar de manera remota la información almacenada en los dispositivos de todos los usuarios a los que supuestamente tenía acceso, y aumentó el precio del rescate a 100.000 dólares en criptomonedas.
El objetivo era evidente, extorsionar a la compañía de Cupertino, exigiendo 75.000 dólares en criptomonedas o un total de 100.000 dólares en tarjetas de iTunes.
El hecho que este joven hacker desconocía era que Apple ya había notificado este asunto a la Agencia Nacional de Crimen de Gran Bretaña (NCA). La compañía descartó cualquier posible violación o vulnerabilidad en sus servidores, pero sí se contemplaba la posibilidad de que el joven Kerem hubiera extraído las credenciales de acceso de estos usuarios a través de otras vías.
Unas semanas más tarde, Kerem envió a los medios ZDNet y Vice un documento en el que estaban recopiladas las credenciales de acceso a iCloud de un total de 54 usuarios. Tras confirmar la existencia de dichas cuentas, se informó a las víctimas de manera inmediata para que modificaran sus contraseñas.
Todo este entramado llegó a su fin cuando la NCA llevó a cabo un rastreo de los emails que Kerem había enviado a Apple a modo de amenaza, hito que permitió su posterior detención en Londres. Cuando Kerem fue interrogado, este afirmó que se vio absorbido por el cibercrimen, y que su principal incentivo era obtener el reconocimiento y el respeto de la comunidad de ciberdelincuentes.
Esta semana, más de dos años después, ya conocemos la sentencia de Kerem. El joven residente en Londres ha sido sentenciado a dos años de prisión, el pago de 300 horas de servicio comunitario y un toque de queda electrónico, que le prohíbe en cierta medida el acceso a dispositivos con conexión a internet.