A principios del año pasado, Grant Smith recibió un mensaje de alarma de su esposa. Recibió una notificación de texto sobre un paquete retrasado, hizo clic en el enlace y pagó una tarifa. Luego se dio cuenta de que, en realidad, no era el Servicio Postal de los Estados Unidos el que pedía la información de su tarjeta de crédito, sino que no tenía idea de quién acababa de recopilar su información de pago. Ella rápidamente canceló la tarjeta.
Los Smith habían sido derrotados. Abreviatura de “SMS phishing” (ataques cibernéticos que llegan a través de mensajes de texto)sonriendo se refiere a un tipo particular de mensaje de spam que probablemente haya recibido una o dos veces, si no docenas de veces. Se hacen pasar por marcas o agencias federales, como Citigroup o USPS, con la esperanza de que la gente entregue su información personal.
Da la casualidad de que Smith es una especie de hacker: trabaja en ciberseguridad. Abrió el sitio web falso de USPS que habían enviado los estafadores y comenzó a hurgar en su código, hasta encontrar múltiples vulnerabilidades. Resulta que los delincuentes tenían una seguridad operativa bastante mala, me dijo Smith. Pudo iniciar sesión en el sistema de los piratas informáticos y descargar información de más de 400.000 tarjetas de crédito diferentes que habían recopilado, me dijo, lo cual informó al USPS y a varios bancos.
Smith, sin saberlo, se había abierto camino hasta un nodo de la “tríada smishing”: una elaborada empresa criminal construida sobre estos textos fraudulentos que, según me dijeron varios expertos en ciberseguridad, tiene su sede principalmente en China (de ahí el nombre: las tríadas son notorios sindicatos del crimen organizado en China). La tríada smishing no estafa directamente a la gente común. En cambio, vende paquetes de software a cualquiera que quiera realizar su propia estafa. Por unos 200 dólares al mes, los clientes de la tríada pueden realizar una estafa, incluso si ellos mismos no tienen conocimientos técnicos. Piense en ello como Squarespace para estafas.
En los últimos años, estos mensajes de texto se han convertido en una especie de molestia de fondo, un ruido blanco que acompaña a la propiedad de un teléfono inteligente. Llegan a personas en al menos 121 países. Los mensajes en sí suelen tener algunos indicios claros: frases extrañas, números o direcciones de remitentes sospechosos, errores ortográficos. Aun así, son efectivas: la estafa del USPS por sí sola, que generalmente solicita una pequeña tarifa para volver a entregar un paquete, puede haber sido responsable de defraudar a las víctimas por entre $ 3 mil millones y $ 28 mil millones durante un período reciente de 16 meses, según la estimación de un grupo de investigación. Calcular la cantidad total robada es difícil, porque rastrear quién se enamoró de estos textos y cuánto perdieron es difícil por diseño. Y las estafas de smishing son cada vez más comunes, me dijo Zach Edwards, analista senior de amenazas de la empresa de ciberseguridad Silent Push.
La tríada smishing ha sido tan efectiva que algunas de las empresas más grandes del mundo se están dando cuenta. Esta mañana Google anunciado litigio contra 25 personas o entidades que ha identificado como miembros de la tríada smishing, todas las cuales, según alega, se encuentran en China. (Varios logotipos de Google, incluidos los de Gmail y YouTube, han sido imitados en estas estafas). Antes de este anuncio, Google se había puesto en contacto conmigo para hablar sobre la demanda. Uno de los investigadores de delitos cibernéticos de la compañía (a quien mantengo en el anonimato a pedido, para que no se vean comprometidos en futuras investigaciones) me dijo que su equipo en Google fue informado de la tríada de smishing a principios de este año por investigadores externos, con quienes luego comencé a contactar. Esto me llevó a un grupo mucho más amplio de expertos en ciberseguridad (una especie de liga anti-smishing) que ha estado siguiendo a este sindicato criminal durante años.
Cinco investigadores independientes de ciberseguridad, incluido Smith, me explicaron la empresa del smishing: el funcionamiento interno, brillante y sorprendentemente obvio, a través del cual se envían y monetizan estos mensajes fraudulentos. Ese informe me dejó la impresión de que es posible que este problema nunca se resuelva por completo, que podemos estar condenados para siempre a recibir mensajes de texto incompletos del DMV advirtiéndonos que “paguemos ahora para evitar consecuencias irreversibles”.
El smishing se ha vuelto popular a medida que los filtros de spam de los proveedores de correo electrónico han mejorado. Los mensajes de texto tienen filtros mucho más débiles y, en el caso de servicios como iMessage, están cifrados de extremo a extremo y, por lo tanto, son aún más difíciles de rastrear para las empresas o autoridades. Alrededor de 2023, tanto la escala como la sofisticación de estos ataques aumentaron dramáticamente: los incesantes mensajes de spam que informaban sobre un supuesto peaje impago de una autopista, un paquete retrasado o una devolución de impuestos inesperada. Al analizar estos dominios fraudulentos, así como la actividad en la web oscura, los expertos en ciberseguridad han rastreado gran parte del smishing hasta servicios anunciados en grupos públicos de Telegram y canales de YouTube, casi todos en chino.
El programa de smishing más popular y avanzado que se vende en Telegram es “Lighthouse”, y este es el objetivo de la demanda de Google. Lighthouse, me dijeron los expertos en ciberseguridad, es el punto de entrada clave a través del cual alguien que quiera idear una estafa puede montar una operación falsa. Hay muchas maneras de poner en práctica una estafa de smishing (SecAlliance, parte de CSIS Security Group, cree que decenas de miles de personas de habla china están utilizando estos kits de smishing), pero aquí están los contornos. Dentro de la interfaz de Lighthouse, un panel típico le permite seleccionar la empresa que desea hacerse pasar, tal vez Citi o PayPal, o incluso crear sus propios sitios web de comercio electrónico totalmente fraudulentos. Una vez que el sitio falso esté activo, puede ir a uno de estos chats grupales de Telegram para encontrar un corredor de datos, a quien le compra información de contacto de personas para enviar spam; y luego conectarse con un spammer, alguien que enviará mensajes de texto a todos esos números de teléfono. En algunos casos, los spammers pueden operar como ventanillas únicas, obteniendo información de contacto y enviando los mensajes. (Una de las cuentas de Telegram que Google identificó como parte de la tríada, “Kunlun”, dijo NPR, “¿Qué tiene esto que ver conmigo? No estoy familiarizado con esto”).
Aquí, la estafa se vuelve de baja tecnología. El spammer puede tener docenas de iPhones y dispositivos Android robados dispuestos en estantes en una habitación en el extranjero. Un programa puede redactar automáticamente un mensaje (Querida Jane: Este es tu banco…), y cada uno de esos teléfonos robados puede enviarlo a quizás cientos o miles de objetivos al día. O, tal vez, tengan un emisor de SMS, una caja grande que actúa como una torre de telefonía móvil falsa; el spammer lo conduce por un vecindario y el blaster envía mensajes de texto a todos los teléfonos en su radio. Algunas personas abrirán el enlace (Silent Push ha documentado, en promedio, al menos 50.000 visitas diarias a estos sitios web smishing) y otras escribirán su nombre de usuario y contraseña o su número de tarjeta de crédito. Uno estudiar descubrió que casi el 17 por ciento de los participantes potencialmente cayeron en un ataque de smishing simulado.
Sin que la víctima siquiera haga clic formalmente en “Enviar” para enviar su información personal, el software Lighthouse puede extraer su número de tarjeta de crédito o contraseña del campo de texto y almacenarlo, me dijo Ford Merrill, investigador de seguridad de SecAlliance; si hay autenticación multifactor, ese código de acceso también será aspirado y omitido. El software Lighthouse puede identificar si la tarjeta de crédito es de un banco con una seguridad digital suficientemente débil y, en caso contrario, solicitar a la víctima que introduzca otra. Luego viene el lavado de dinero, que Merrill me describió como “ingenioso”. El software Lighthouse ayuda a cargar la información de la tarjeta de crédito robada en billeteras digitales, dijo; Se pueden vender y enviar cajas de teléfonos inteligentes cargados con tarjetas robadas, hasta 10 por teléfono. a través de carga aérea. Luego, un experto en lavado puede ayudar a los estafadores a pagarse a sí mismos, por ejemplo, creando un comerciante falso y comprándole artículos o servicios inexistentes.
Antes, un estafador tenía que saber cómo hacer todo esto por su cuenta. “Ahora los delincuentes simplemente se suscriben a los servicios que necesitan para llevar a cabo el ataque”, me dijo Shawn Loveland, director de operaciones de la empresa de ciberseguridad Resecurity. “Es posible que no tengan ningún conocimiento técnico sobre cómo funciona realmente”. Y como ocurre con cualquier cadena de suministro, la especialización permite la sofisticación: mejores parodias de una gama más amplia de sitios web, más idiomas, lavado de dinero menos detectable, etc. Un avance reciente, dijo Loveland, ha implicado el uso de IA generativa para escribir textos de phishing más personalizados y engañosos. Un número creciente de filtraciones de datos proporciona una gran cantidad de información personal vinculada a números de teléfono y correos electrónicos, que un chatbot puede utilizar para redactar textos que se hacen pasar, por ejemplo, por su banco o su jefe. “Todo el proceso está muy automatizado e industrializado”, dijo Merrill.
A pesar de la sofisticación general de la tríada, me dijeron los expertos en ciberseguridad, los estafadores han cometido varios errores. “Su seguridad operativa es terrible”, dijo Merrill; Las instrucciones y fotografías de proveedores de smishing como servicio están en todo Telegram. Cuando Smith estaba husmeando en el enlace de USPS, encontró nombres de usuario de administrador que incluían “admin0”, “admin1” y “admin2”, y contraseñas que también incluían “admin0, “admin1” y “admin2”. Google pudo identificar un canal de YouTube (ahora suspendido) con tutoriales de smishing, uno de los cuales incluía varias direcciones de Gmail en una pantalla compartida, me dijo un investigador del grupo de delitos cibernéticos de Google. Utilizando esas cuentas de correo electrónico, dijo el investigador, Google pudo vincular la actividad criminal y los nombres de usuario en línea a varias personas y entidades, aunque aún no conoce los verdaderos nombres o identidades de los acusados.
Google, Apple, Visa y otras empresas han mejorado sus protecciones antiphishing. Todos los expertos con los que hablé me dijeron que la demanda de Google es un paso importante: la esperanza sería que Google, o potencialmente otras empresas o agencias gubernamentales con gran visibilidad de la actividad web, eventualmente utilicen un fallo sobre su demanda para solicitar a otros actores que eliminen los sitios web, las cuentas, las direcciones IP y similares asociados con estas estafas. Pero detener realmente estas operaciones de manipulación requerirá un esfuerzo más amplio y coordinado (y, además, poco probable que sea internacional, dado que la tríada parece estar fuera de Estados Unidos). “No existe una fórmula mágica”, dijo Loveland. Google también anunció hoy que apoya tres proyectos de ley que podrían permitir nuevas acciones contra los estafadores digitales.
Como siempre, cuando las empresas y las autoridades intensifican sus esfuerzos, también lo hacen los estafadores. Los kits de phishing más nuevos, como Lighthouse, son más sólidos y más difíciles de estudiar o encontrar formas de estudiarlos para los expertos en ciberseguridad. La tríada smishing tiene “demasiados recursos y demasiado tiempo para dedicarlos”, me dijo Smith. Los arrestos físicos podrían requerir la cooperación del gobierno chino. Y todo el tiempo aparecen nuevos kits de smishing, dijo Merill, a medida que los aprendices desarrollan y venden sus propios servicios. La batalla contra el phishing no sólo es cuesta arriba: el terreno ni siquiera está completamente trazado.
