AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Cibercriminales aprovechan routers industriales Milesight para campañas de smishing en Europa

admin

#### Introducción

En los últimos meses, se ha observado un aumento significativo en las campañas de smishing (phishing vía SMS) dirigidas a usuarios europeos. Una investigación reciente de la firma francesa SEKOIA ha revelado que actores de amenazas desconocidos están explotando vulnerabilidades en routers celulares industriales Milesight para orquestar estas campañas maliciosas. El uso de dispositivos IoT industriales como plataforma de ataque representa una evolución preocupante en la sofisticación y alcance de las amenazas dirigidas tanto a infraestructuras críticas como a usuarios finales.

#### Contexto del Incidente

El incidente, que se remonta al menos a febrero de 2022, afecta principalmente a países europeos como Suecia e Italia, aunque no se descarta su expansión a otras regiones del continente. Los atacantes han identificado en los routers Milesight un vector eficaz para el envío masivo de SMS fraudulentos, aprovechando las capacidades de conectividad celular y la exposición de APIs vulnerables en estos dispositivos. Esta técnica permite a los cibercriminales enviar mensajes de texto con URLs maliciosas a miles de usuarios, eludiendo controles habituales de seguridad y dificultando la atribución del ataque.

#### Detalles Técnicos

La campaña aprovecha routers celulares industriales Milesight, en concreto modelos UR32, UR35 y UR75, ejecutando firmware anterior a la versión 32.3.0.7. Los atacantes explotan la API expuesta de estos dispositivos —en muchos casos accesible sin autenticación adecuada o mediante credenciales por defecto— para automatizar el envío de SMS. El método observado consiste en interactuar directamente con el endpoint `/cgi-bin/sms_send` de la interfaz de gestión web, transmitiendo comandos POST que contienen el número de teléfono víctima y la URL de phishing.

Las Tácticas, Técnicas y Procedimientos (TTP) identificadas corresponden a las matrices MITRE ATT&CK T1190 (Exploitation of Remote Services) para el acceso inicial y T1566.001 (Phishing: Spearphishing via Service) para la entrega del payload. Se han registrado diversos Indicadores de Compromiso (IoC), incluyendo direcciones IP asociadas a routers Milesight comprometidos y patrones comunes en las URLs maliciosas, muchas de las cuales simulan portales bancarios o servicios de mensajería.

El análisis forense indica que los atacantes emplean herramientas de automatización basadas en scripts Python y, en algunos casos, frameworks como Metasploit para la explotación inicial. No se descarta el uso de Cobalt Strike en etapas posteriores para la persistencia y el movimiento lateral, dada la naturaleza industrial y la posible criticidad de algunos de estos dispositivos en entornos OT.

#### Impacto y Riesgos

El impacto es significativo tanto a nivel de usuarios como de organizaciones. Desde el punto de vista operativo, la explotación de routers industriales para campañas de smishing permite a los atacantes:

– Eludir sistemas anti-spam convencionales, ya que los SMS provienen de números legítimos de operadoras locales.
– Comprometer la reputación de la empresa propietaria del router, que puede verse implicada en investigaciones legales.
– Facilitar ataques más sofisticados, como el robo de credenciales bancarias y la propagación de malware móvil.

Según estimaciones de SEKOIA, se han identificado más de 1.200 routers Milesight expuestos en Europa, con una tasa de explotación cercana al 15% desde el inicio de la campaña. El impacto económico potencial es elevado: solo en Italia, los fraudes por smishing superaron los 8 millones de euros en 2023, según datos del CERT-IT.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este vector de ataque, se recomienda:

– Actualizar el firmware de los routers Milesight a la versión 32.3.0.7 o superior, donde se ha corregido la vulnerabilidad de la API.
– Cambiar inmediatamente las credenciales por defecto y limitar el acceso remoto mediante listas de control de acceso (ACLs) y VPN.
– Monitorizar los logs de envío de SMS y la actividad en la interfaz de administración para detectar patrones anómalos.
– Implementar segmentación de red y restringir la exposición de dispositivos IoT/OT a servicios esenciales.
– Realizar auditorías periódicas de seguridad sobre la infraestructura de red industrial y aplicar las recomendaciones del estándar IEC 62443.

#### Opinión de Expertos

Según Julien Reisdorf, analista de amenazas en SEKOIA, “la explotación de dispositivos industriales para campañas de smishing marca un cambio de paradigma: los atacantes buscan infraestructuras con acceso a recursos de telecomunicaciones para maximizar el alcance y la legitimidad de sus campañas. La falta de hardening y la exposición de APIs críticas son factores clave en este tipo de incidentes”.

Por su parte, expertos de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) alertan sobre la urgencia de reforzar la seguridad en dispositivos IoT y OT, especialmente tras la entrada en vigor de la directiva NIS2, que impone obligaciones más estrictas de gestión de riesgos y notificación de incidentes a operadores de infraestructuras críticas.

#### Implicaciones para Empresas y Usuarios

Las empresas que gestionan infraestructuras industriales conectadas deben considerar este incidente como una advertencia sobre la importancia de la ciberseguridad en entornos OT. Un fallo de este tipo no solo expone a los usuarios a fraudes, sino que puede derivar en sanciones bajo el RGPD y la NIS2, así como daños reputacionales y pérdidas económicas.

Para los usuarios, la recomendación es extremar la precaución ante SMS sospechosos, evitar hacer clic en enlaces desconocidos y verificar siempre la autenticidad de las comunicaciones que aparentan proceder de entidades bancarias o servicios digitales.

#### Conclusiones

La explotación de routers industriales Milesight como plataformas para campañas de smishing pone de manifiesto la convergencia creciente entre amenazas dirigidas a IT y OT. La rápida adopción de dispositivos conectados en entornos industriales requiere una respuesta proactiva en términos de actualización, monitorización y gestión de vulnerabilidades. Solo a través de una estrategia integral de ciberseguridad será posible frenar la sofisticación y el alcance de campañas como la detectada por SEKOIA.

(Fuente: feeds.feedburner.com)