Europol desmantela una red CaaS basada en SIM farms que facilitaba phishing y fraude a escala global

Introducción

El pasado viernes, Europol anunció el éxito de la Operación SIMCARTEL, una compleja intervención policial internacional dirigida a desarticular una plataforma de ciberdelincuencia como servicio (CaaS) que operaba a través de una “SIM farm”. Esta infraestructura permitió a sus clientes perpetrar un amplio espectro de delitos, desde campañas masivas de phishing hasta sofisticados fraudes de inversión y suplantación de identidad. El operativo culminó con la realización de 26 registros, la detención de siete sospechosos y la incautación de activos y dispositivos clave para el funcionamiento de la red.

Contexto del Incidente

Las SIM farms, o granjas de SIM, constituyen un recurso fundamental para cibercriminales especializados en el envío automatizado de SMS maliciosos y la evasión de sistemas de autenticación basados en el número de teléfono. El auge de este tipo de infraestructuras responde a la creciente demanda de servicios CaaS, en los que organizaciones delictivas ofrecen acceso a herramientas y capacidades técnicas avanzadas sin que el cliente final requiera conocimientos profundos en hacking.

En este caso, la plataforma desmantelada ofrecía servicios de envío masivo de SMS (smishing), bypass de sistemas de autenticación de doble factor (2FA) y suplantación de números para fraudes de tipo vishing e ingeniería social. La operación, coordinada desde el European Cybercrime Centre (EC3) de Europol, involucró a cuerpos de seguridad de varios países europeos y contó con la colaboración de proveedores de telecomunicaciones y empresas de ciberseguridad.

Detalles Técnicos del Ataque

La infraestructura desmantelada estaba compuesta por una SIM farm de cientos de tarjetas SIM conectadas a dispositivos GSM, generalmente controlados por sistemas basados en Raspberry Pi y módulos USB GSM. El acceso remoto a la granja se ofertaba a través de un panel web protegido, desde el cual los clientes podían cargar listas de objetivos, redactar mensajes personalizados y programar campañas de ataque.

CVE asociadas: Si bien no se ha publicado una vulnerabilidad específica (CVE) ligada al software de la SIM farm, sí se observó el uso de exploits conocidos para comprometer routers SOHO y servidores expuestos, permitiendo la persistencia y anonimato de la infraestructura.

Vectores de ataque:
– Smishing (SMS phishing) automatizado a miles de víctimas por día.
– Suplantación de identidad mediante spoofing de números.
– Bypass de 2FA por interceptación de tokens SMS.
– Fraude de inversión y bancario mediante enlaces maliciosos y captación de credenciales.

TTP MITRE ATT&CK:
– T1566.001 (Phishing: Spearphishing via Service)
– T1078.003 (Valid Accounts: Local Accounts)
– T1608.004 (Stage Capabilities: Drive-by Target)
– T1589.001 (Gather Victim Identity Information: Credentials)

Indicadores de compromiso (IoC):
– IPs asociadas a paneles de control de SIM farms.
– Hashes de archivos maliciosos empleados en campañas.
– Números de teléfono utilizados como origen de SMS fraudulentos.

Impacto y Riesgos

La plataforma permitió a sus clientes esquivar mecanismos antifraude de entidades bancarias y operadores, facilitando ataques a gran escala con tasas de éxito superiores al 15% en campañas de smishing. Europol estima que la red facilitó fraudes que superan los 10 millones de euros en pérdidas. Más de un centenar de empresas europeas y miles de ciudadanos se han visto afectados, especialmente en sectores financiero, retail y telecomunicaciones.

Uno de los mayores riesgos identificados es la capacidad de estos servicios para comprometer procesos de autenticación crítica, lo que pone en jaque la seguridad de cuentas bancarias, accesos corporativos y datos personales protegidos bajo GDPR y la inminente NIS2.

Medidas de Mitigación y Recomendaciones

– Implementar mecanismos de autenticación multifactor que no dependan exclusivamente de SMS (TOTP, aplicaciones OTP, tokens hardware).
– Monitorizar patrones de envío masivo de SMS desde rangos sospechosos o dispositivos no autorizados.
– Aplicar soluciones de detección de SIM farms y spoofing en infraestructura móvil.
– Concienciar a empleados y clientes sobre amenazas de smishing y vishing, reforzando la formación en detección de fraudes.
– Revisar configuraciones de firewalls y routers para evitar su uso como proxys de CaaS.

Opinión de Expertos

Especialistas de ENISA y compañías de threat intelligence como Group-IB destacan que, aunque la operación representa un golpe importante, la economía CaaS basada en SIM farms es resiliente y tiende a migrar rápidamente a nuevas infraestructuras. “La baja barrera de entrada y la alta rentabilidad de estos servicios motivan la rápida proliferación de actores y variantes, por lo que la cooperación internacional es esencial”, señala un analista de Kaspersky.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar urgentemente sus procedimientos de autenticación y monitorización de eventos relacionados con SMS. La exposición de empleados y clientes a campañas de smishing puede derivar en fugas de credenciales, accesos no autorizados y sanciones regulatorias por incumplimiento de GDPR y NIS2. A nivel usuario, la recomendación es desconfiar de SMS con enlaces o solicitudes de datos, así como activar métodos de autenticación alternativos.

Conclusiones

La Operación SIMCARTEL subraya la sofisticación y el alcance global de las nuevas modalidades de ciberdelincuencia como servicio, así como la necesidad de una respuesta coordinada entre fuerzas de seguridad, sector privado y legisladores. La desarticulación de esta SIM farm representa un hito, pero anticipa también una evolución constante de los modus operandi criminales y un desafío permanente para los equipos de seguridad.

(Fuente: feeds.feedburner.com)