Google declara la guerra a la "mafía del SMS" y lleva a los tribunales a una banda china que estafó a un millón de personas en 120 países

Google presentó una demanda contra un grupo transnacional de ciberdelincuentes responsable de una amplia campaña de smishing por SMS. En los documentos la compañía señala a una comunidad que los investigadores bautizaron Smishing Triad y afirma que el núcleo de esa red tiene su base en China. Según el demandante, más de 1 millón de personas en 120 países ya han resultado afectadas por los envíos masivos, y la infraestructura de los ataques está gestionada por el constructor de phishing Lighthouse, que opera bajo el modelo «phishing como servicio».

En los cargos están implicadas tres leyes estadounidenses: RICO (ley contra el crimen organizado), Lanham Act (ley sobre marcas y competencia desleal) y CFAA (ley contra el fraude y los abusos informáticos). Ante los tribunales la corporación busca desconectar los servicios de los atacantes y eliminar la plataforma Lighthouse, que, según los abogados, genera conjuntos de plantillas de páginas para el robo de datos personales.

El esquema de los ataques es sencillo y efectivo: el destinatario recibe una «notificación importante» con un enlace a un sitio falso. Allí se induce a la víctima a introducir información confidencial —desde el número de seguridad social y las cuentas bancarias hasta otros datos de pago. Los pretextos habituales son la supuesta bloqueo de una tarjeta, una «deuda» por tasas gubernamentales, una «actualización de entrega» o un aviso de «actividad sospechosa».

Los operadores explotaban la confianza en marcas conocidas, incluidos E-ZPass, el Servicio Postal de los Estados Unidos (USPS) y los propios servicios del gigante de las búsquedas. Las comprobaciones internas detectaron más de 100 plantillas de páginas de inicio de sesión en las que los logotipos y el diseño de Google se usaban para simular una autorización legítima y así sustraer contraseñas.

La escala del daño, según la compañía, es muy amplia: solo en Estados Unidos los atacantes podrían haber sustraído entre 12,7 y 115 millones de tarjetas bancarias. Esa variación se explica por las diferencias en las fuentes y metodologías de cálculo, pero incluso el límite inferior muestra cuán agresivo actúa el ecosistema smishing.

La investigación también abordó la organización interna. Según el consejero general, alrededor de 2.500 participantes se coordinaban en un canal público de Telegram: allí reclutaban ejecutores, discutían tácticas, probaban y mantenían Lighthouse. En la estructura había secciones diferenciadas: corredores de datos suministraban bases de posibles víctimas, spammers realizaban los envíos, y otro grupo empleaba las credenciales obtenidas para robos posteriores en las mismas plataformas.

Google subraya que esta es la primera demanda presentada por una compañía tecnológica contra operaciones de smishing por SMS. Los abogados insisten en que, además de las herramientas legales, es necesario cambiar las reglas del juego a nivel de políticas públicas. Por ello la corporación apoyó tres iniciativas bipartidistas en el Congreso: la GUARD Act (protección de ahorradores mayores frente a fraudes), la Foreign Robocall Elimination Act (creación de un grupo especial contra las llamadas automáticas extranjeras) y la Scam Compound Accountability and Mobilization Act (actuaciones contra «centros de estafa» y apoyo a las víctimas de trata vinculadas a esos centros).

Recientemente la empresa incorporó en Google Messages un verificador de claves (Key Verifier) y algoritmos basados en IA para filtrar con mayor precisión los mensajes sospechosos y bloquear enlaces maliciosos antes de que sean pulsados.

En la corporación formulan el objetivo de manera clara: detener la expansión de Lighthouse, crear un precedente que enfríe las acciones de los seguidores de estos delincuentes y reducir los riesgos para las personas y organizaciones cuyos marcas fueron usurpadas para «legitimar» esos sitios. Si el tribunal concede la demanda, Smishing Triad perdería una plataforma crítica y a los proveedores y a las fuerzas del orden les resultaría más sencillo desmontar sincrónicamente los nodos restantes de esta red.