Una ofensiva masiva de smishing atribuida al grupo Smishing Triad ha empleado más de 194,000 dominios maliciosos para atacar servicios bancarios, cuentas de usuario y entidades gubernamentales a nivel mundial, con una infraestructura que evoluciona para evadir la detección.

Mapa conceptual de infraestructura global de smishing vinculada a Smishing Triad.

El grupo Smishing Triad, con presunta vinculación a China, ha conseguido organizar una de las mayores campañas de phishing por SMS (smishing) de los últimos años, según Unidad 42 de Palo Alto Networks. Mediante la creación y rotación de cientos de miles de dominios, los atacantes suplantan servicios de todo el mundo, incluyendo bancos, empresas de paquetería, correos gubernamentales y plataformas financieras, con el objetivo de obtener credenciales y datos sensibles de usuarios.

La operación se apoya en una infraestructura descentralizada donde participan desarrolladores de kits de phishing, vendedores de datos, proveedores de alojamiento y grupos de spam. Los dominios, cuyo ciclo de vida rara vez supera una semana, se registran principalmente en Hong Kong y se alojan en servicios cloud estadounidenses, como Cloudflare. Las plantillas de ataque imitan desde el USPS y bancos hasta organismos estatales, redirigiendo a páginas falsas donde las víctimas facilitan contraseñas, códigos de autenticación y datos bancarios. Tácticas como ‘ClickFix’ se utilizan para inducir a los usuarios a ejecutar código malicioso bajo pretextos inocuos.

El volumen masivo de dominios efímeros dificulta enormemente la detección y cierre de infraestructuras, permitiendo un despliegue global y continuado. El grupo ha obtenido más de $1.000 millones en tres años y llegó a manipular mercados bursátiles mediante ataques a cuentas de inversores (‘ramp and dump’). El riesgo para usuarios y empresas es elevado: pérdida financiera, robo de identidad y exposición de información sensible por canales difíciles de rastrear.

Organizaciones e individuos deben extremar la vigilancia ante mensajes SMS sospechosos o que apelan a la urgencia. Se recomienda no hacer clic en enlaces ni entregar datos personales a través de SMS, verificar directamente la autenticidad de los mensajes con los proveedores correspondientes y mantener sistemas de alerta ante dominios fraudulentos. Las entidades deben monitorizar registros DNS, invertir en protección frente a smishing y capacitar a sus equipos sobre ingeniería social avanzada.

El caso Smishing Triad evidencia la sofisticación y alcance de las campañas de smishing actuales. La respuesta de los equipos de ciberseguridad debe incluir vigilancia proactiva, concienciación y colaboración internacional para frenar un fenómeno con impacto multimillonario y en crecimiento.

Más información