AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Los smishers chinos evolucionan: de ataques masivos a sofisticadas campañas de suplantación gubernamental

admin

**1. Introducción**

Durante los últimos años, los ataques de smishing —phishing vía mensajes SMS— procedentes de actores chinos han supuesto una de las amenazas más persistentes y molestas para los usuarios de telefonía móvil en Estados Unidos. Sin embargo, recientes investigaciones evidencian un cambio significativo en la estrategia de estos grupos. En lugar de campañas masivas y poco sofisticadas, los atacantes están optando por operaciones de menor frecuencia pero con objetivos más específicos y un potencial de impacto mucho mayor: la suplantación de entidades gubernamentales estadounidenses.

**2. Contexto del Incidente o Vulnerabilidad**

El smishing tradicionalmente ha consistido en el envío indiscriminado de SMS fraudulentos que buscan robar credenciales o instalar malware en los dispositivos de las víctimas. No obstante, según reportes de varias empresas de ciberinteligencia y seguridad móvil, grupos de origen chino han comenzado a focalizar sus esfuerzos en campañas de ingeniería social más elaboradas. Estas nuevas tácticas involucran la imitación de agencias gubernamentales como el Servicio de Impuestos Internos (IRS), el Departamento de Seguridad Nacional (DHS) o incluso organismos estatales, incrementando así la tasa de éxito de los ataques.

Este giro estratégico coincide con el endurecimiento de la legislación estadounidense respecto a la protección de datos (GDPR y CCPA) y la entrada en vigor de directivas europeas como NIS2, que obligan a empresas y administraciones a reforzar sus mecanismos de defensa ante amenazas sofisticadas.

**3. Detalles Técnicos**

Las campañas recientes identificadas emplean técnicas de suplantación de identidad (spoofing) en los remitentes de SMS, utilizando nombres y números que imitan a los de instituciones oficiales. Los mensajes suelen incluir enlaces a dominios maliciosos (IoC) que simulan portales gubernamentales, solicitando a las víctimas la introducción de información personal sensible o credenciales de acceso.

La mayor sofisticación de estos ataques radica en el uso de kits de phishing personalizados, detectados por equipos de Threat Intelligence, que adaptan el contenido y la apariencia del portal falso en función de la geolocalización y el dispositivo de la víctima. Algunos actores han sido vinculados a campañas asociadas a los CVE-2022-27254 y CVE-2023-23397, que explotan vulnerabilidades en aplicaciones de mensajería y sistemas operativos móviles para evadir filtros antispam y sistemas de detección.

En cuanto a los TTP (Tactics, Techniques and Procedures) mapeados según MITRE ATT&CK, los atacantes emplean técnicas T1566.001 (Spearphishing via SMS), T1589.002 (Recopilación de credenciales por ingeniería social) y T1204.002 (Ejecutar código a través de enlaces maliciosos). Se ha documentado el uso de frameworks como Metasploit y Cobalt Strike para la explotación post-compromiso y la exfiltración de datos.

**4. Impacto y Riesgos**

El cambio de enfoque hacia la suplantación de organismos estatales no solo incrementa la tasa de éxito de los ataques, sino que también maximiza las consecuencias para las víctimas. En el primer trimestre de 2024, se han reportado más de 300.000 intentos de smishing dirigidos a empleados públicos y usuarios particulares, con un índice de compromiso estimado en torno al 8%. Las pérdidas económicas derivadas de fraudes asociados a estos ataques superan los 50 millones de dólares, según datos del FBI IC3.

El riesgo para empresas y administraciones es especialmente alto, ya que el acceso indebido a sistemas internos puede facilitar ataques posteriores de ransomware, robo de información confidencial y el incumplimiento de normativas como GDPR o NIS2, con potenciales sanciones multimillonarias.

**5. Medidas de Mitigación y Recomendaciones**

Las principales recomendaciones para organizaciones y usuarios profesionales incluyen:

– Implementar filtros avanzados de SMS en dispositivos corporativos y redes internas.
– Sensibilizar y formar al personal sobre la detección de mensajes sospechosos y los riesgos de pulsar enlaces no verificados.
– Verificar siempre la autenticidad de cualquier comunicación oficial a través de canales alternativos.
– Implantar soluciones de Threat Intelligence capaces de identificar y bloquear dominios y remitentes maliciosos en tiempo real.
– Actualizar y parchear regularmente aplicaciones de mensajería, sistemas operativos móviles y soluciones de seguridad endpoint.

Asimismo, se recomienda a las empresas establecer procedimientos internos de respuesta ante incidentes de smishing y revisar periódicamente los protocolos de protección de datos conforme a la legislación vigente.

**6. Opinión de Expertos**

Analistas de SOC y responsables de ciberseguridad coinciden en que la transición de campañas masivas a ataques dirigidos representa una evolución preocupante. “El uso de ingeniería social avanzada y la suplantación de organismos oficiales incrementan la dificultad de detección y respuesta, especialmente en entornos con alta rotación de personal o baja madurez en concienciación de ciberseguridad”, afirma Patricia Molina, CISO de una entidad financiera española.

Desde la perspectiva de los pentesters, la proliferación de kits de phishing y herramientas automatizadas implica que la barrera de entrada para los atacantes es cada vez más baja, obligando a las organizaciones a reforzar tanto la tecnología como la formación de sus empleados.

**7. Implicaciones para Empresas y Usuarios**

El salto cualitativo en las campañas de smishing de origen chino exige a las empresas un enfoque proactivo y multidisciplinar. La simple aplicación de soluciones antispam ya no es suficiente; es necesario combinar tecnologías de detección avanzada con programas de concienciación y simulacros periódicos.

Para los usuarios, especialmente aquellos que gestionan información sensible o recursos críticos, la recomendación es desconfiar de cualquier mensaje inesperado que solicite información personal o credenciales, aunque aparentemente proceda de una entidad oficial.

**8. Conclusiones**

La sofisticación creciente de los ataques de smishing, impulsada por grupos chinos, marca una nueva etapa en la amenaza a la ciberseguridad móvil en Occidente. El desplazamiento hacia la suplantación gubernamental obliga a administraciones y empresas a revisar sus políticas de seguridad, invertir en tecnologías de protección y reforzar la concienciación del personal, en un contexto regulatorio cada vez más exigente y con consecuencias económicas y reputacionales significativas.

(Fuente: www.darkreading.com)