AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Los actores detrás de una campaña masiva de smishing han utilizado más de 194.000 dominios maliciosos desde enero de 2024

admin

## Introducción

Desde principios de 2024, la comunidad profesional de ciberseguridad ha observado un alarmante incremento en campañas de smishing a escala global. Investigaciones recientes de Palo Alto Networks Unit 42 revelan que los responsables de esta oleada han registrado y desplegado más de 194.000 dominios maliciosos en tan solo seis meses, afectando a múltiples sectores y servicios en todo el mundo. Este fenómeno pone en evidencia tanto la sofisticación de los actores de amenazas como la necesidad urgente de reforzar los sistemas de defensa frente a este vector de ataque, que sigue evolucionando en técnicas y alcance.

## Contexto del Incidente

El smishing, o phishing a través de SMS, explota la confianza y la inmediatez que los usuarios otorgan a los mensajes cortos en sus dispositivos móviles. A diferencia del phishing tradicional basado en correo electrónico, el smishing aprovecha la alta tasa de apertura y la baja sospecha que suelen generar los SMS, especialmente cuando simulan comunicaciones legítimas de bancos, servicios de paquetería o plataformas gubernamentales. Desde enero de 2024, se ha observado una actividad anómala en la creación y uso de dominios fraudulentos, muchos de ellos registrados a través de registradores radicados en Hong Kong y con servidores de nombres chinos, aunque la infraestructura real de ataque se encuentra dispersa globalmente, dificultando la atribución y mitigación.

## Detalles Técnicos

La campaña identificada por Unit 42 destaca por el volumen y la diversidad de los dominios maliciosos empleados: más de 194.000 desde el inicio del año. Muchos de estos dominios presentan patrones homogéneos en la nomenclatura y en el uso de TLDs poco habituales, lo que complica su bloqueo proactivo mediante listados tradicionales. Los ataques suelen iniciar con el envío masivo de SMS que contienen enlaces acortados o disfrazados, que redirigen a páginas web diseñadas para suplantar entidades legítimas.

Si bien no se ha asignado aún un CVE específico asociado a la campaña, los TTPs observados se alinean con técnicas documentadas en MITRE ATT&CK, como **T1566.001 (Spearphishing via Service)** para la entrega inicial y **T1204.001 (Malicious Link)** para la ejecución del vector de ataque en el dispositivo de la víctima. Los indicadores de compromiso (IoC) identificados incluyen patrones recurrentes en los subdominios, certificados autofirmados y cadenas de User-Agent específicas utilizadas en la interacción inicial.

En cuanto a herramientas, se han detectado scripts automatizados para el registro masivo de dominios (posiblemente mediante APIs de registradores), así como frameworks conocidos para la orquestación de campañas de phishing, aunque no se ha confirmado el uso a gran escala de kits como Evilginx o Modlishka en esta oleada concreta. Tampoco se descarta que algunos dominios hayan sido aprovechados como C2 para despliegue de malware secundario o exfiltración de credenciales.

## Impacto y Riesgos

El alcance de esta campaña es significativo: estimaciones preliminares sugieren que decenas de millones de usuarios en Europa, Norteamérica y Asia han recibido al menos un mensaje fraudulento vinculado a estos dominios. Los sectores más afectados incluyen banca, comercio electrónico, servicios de logística y organismos públicos.

El riesgo principal reside en el robo de credenciales, datos personales y, en algunos casos, la instalación de troyanos bancarios o spyware en dispositivos móviles. Además, se han reportado incidentes en los que el acceso fraudulento ha permitido realizar transacciones no autorizadas o suplantar identidades, generando un impacto económico potencial cifrado en decenas de millones de euros. A nivel regulatorio, estos incidentes pueden derivar en incumplimientos de GDPR y NIS2, con sanciones significativas para las organizaciones afectadas.

## Medidas de Mitigación y Recomendaciones

Para frenar este tipo de campañas, los expertos recomiendan implementar soluciones de filtrado de SMS a nivel de operadora, reforzar los sistemas de autenticación multifactor en servicios críticos y monitorizar activamente los dominios registrados que imiten a la organización. A nivel SOC, resulta clave desplegar detección de IoCs relacionados, configurar alertas sobre patrones de tráfico a dominios sospechosos y mantener actualizadas las reglas de correlación SIEM adaptadas a este tipo de amenazas.

Además, se enfatiza la necesidad de formar y sensibilizar a los empleados y usuarios sobre los riesgos del smishing, promoviendo el reporte inmediato de mensajes sospechosos y evitando acceder a enlaces no verificados desde dispositivos móviles. La colaboración con CERTs nacionales y la denuncia ante las autoridades es fundamental para agilizar la baja de dominios y la persecución de los actores implicados.

## Opinión de Expertos

Analistas de ciberamenazas coinciden en que la automatización y el bajo coste del registro de dominios, combinados con la fragmentación jurisdiccional de los registradores, permiten a los atacantes escalar rápidamente este modelo de fraude. Desde la perspectiva de los CISOs, el reto no solo es tecnológico, sino también de gobernanza: “La respuesta técnica debe ir acompañada de una estrategia de concienciación y de cooperación internacional para cerrar los resquicios legales aprovechados por los atacantes”, señala un responsable de seguridad de una entidad financiera española.

## Implicaciones para Empresas y Usuarios

Para las empresas, el aumento de estos ataques incrementa la presión sobre los equipos de respuesta y obliga a priorizar inversiones en inteligencia de amenazas y protección de identidad digital. Para los usuarios finales, la principal implicación es la pérdida de confianza en canales de comunicación legítimos, así como la exposición a fraudes económicos y robo de datos personales.

## Conclusiones

La campaña masiva de smishing identificada este año supone un salto cualitativo y cuantitativo respecto a oleadas anteriores, y anticipa una tendencia al alza en el uso de dominios efímeros y técnicas de suplantación sofisticadas. La defensa efectiva requiere una combinación de tecnología, formación y colaboración público-privada, así como la adaptación continua a los nuevos métodos de ataque observados.

(Fuente: feeds.feedburner.com)