Un dispositivo industrial pone en peligro tu bolsillo — cómo un router se convirtió en el "cartero" del phishing
Una característica inesperada del equipamiento empresarial abrió la puerta a ataques a gran escala.
La empresa francesa SEKOIA detectó una campaña de smishing en la que los atacantes explotan vulnerabilidades en los enrutadores industriales 4G/5G de Milesight para enviar mensajes SMS de phishing a usuarios en varios países europeos. En el informe se describe que los atacantes accedían a la API del dispositivo que permite enviar y ver mensajes, y desde febrero de 2022 a través de esos enrutadores se realizaron envíos dirigidos con enlaces falsos que imitaban servicios gubernamentales y portales bancarios — los ataques afectaron principalmente a Suecia, Italia y Bélgica.
La investigación determinó que de aproximadamente 18 000 dispositivos Milesight accesibles desde Internet, al menos 572 exponían una API de SMS sin requisitos de autenticación; casi la mitad de esos enrutadores está en Europa. SEKOIA vincula la explotación con una vulnerabilidad ya conocida documentada como CVE-2023-43261. Los atacantes utilizaron tanto explotación como errores de configuración — algunos dispositivos con firmware más reciente no se vieron afectados, lo que indica una mezcla de explotación y configuraciones incorrectas.
Los ataques seguían un esquema simple pero eficaz: primero comprobaban la posibilidad de enviar SMS enviando pruebas a un número bajo su control, y luego lanzaban envíos masivos a través de enrutadores distribuidos, lo que dificultaba su detección y bloqueo.
Las páginas de phishing a las que dirigían los mensajes incluían comprobaciones JavaScript de los navegadores móviles e instrucciones supuestamente para actualizar datos bancarios y así recibir una compensación. Uno de los dominios usados en 2025 incorporaba scripts para desactivar el menú contextual y las herramientas de depuración, además de registrar las visitas en el bot de Telegram GroozaBot, operado por un usuario con el nombre 'Gro_oza', que, según los indicios recopilados, se comunica en árabe y francés.
SEKOIA señala que no hay indicios de intentos de instalar puertas traseras persistentes ni de una posterior escalada — la elección del vector fue muy focalizada y orientada únicamente a la entrega de phishing por SMS.
El conjunto de hechos subraya el atractivo de los enrutadores industriales para este tipo de envíos — permiten un envío descentralizado a través de distintos países y operadores, lo que complica la respuesta operativa.
Las recomendaciones para protección incluyen actualizar el firmware, comprobar la accesibilidad de las interfaces de gestión desde Internet y desactivar las funciones de SMS en los dispositivos que no las necesitan.
¿Estás cansado de que Internet sepa todo sobre ti?