Tu banco, el servicio de reparto y Google: todo suplantado. La compañía demanda a 25 personas por automatizar el robo de fondos en Android e iOS

Google presentó una demanda civil contra 25 personas, a las que acusa de participar en un esquema a gran escala de envío de mensajes fraudulentos. Según los datos de la compañía, se trata de una red llamada Lighthouse —una plataforma que ofrece a los ciberdelincuentes servicios de «phishing por suscripción». A través de ella los atacantes enviaron millones de notificaciones y enlaces falsos, haciéndose pasar por organismos gubernamentales, servicios de mensajería, bancos e incluso por la propia Google.

Sin estimaciones de analistas, los estafadores de Lighthouse operaban en más de 120 países, engañando a usuarios mediante SMS, mensajes RCS en Google Messages y iMessage. Las pérdidas de las víctimas se estiman en miles de millones de dólares. Según la demanda, solo en EE. UU. millones de personas podrían haber resultado afectadas por su actividad. Las páginas fraudulentas con frecuencia imitaban sitios del USPS, de departamentos de transporte y de servicios municipales de Nueva York, así como las interfaces de Gmail, YouTube y Google Play.

Lighthouse es un servicio completo que proporciona a los atacantes plantillas listas para usar de páginas de phishing, herramientas para gestionar datos robados y un sistema de envío masivo de mensajes. El acceso al software se vendía por suscripción —desde tarifas semanales y mensuales hasta acceso de por vida. A los clientes se les ofrecían más de 600 plantillas que imitaban alrededor de 400 organizaciones en todo el mundo, incluidas 116 variantes con los logotipos de productos de Google.

Investigadores de Silent Push registraron actividad relacionada con Lighthouse en al menos 121 países. En veinte días de monitorización detectaron alrededor de 200.000 sitios fraudulentos que conducen a esa infraestructura. Según sus datos, el número diario de envíos supera los 100.000 mensajes, y la cantidad de datos de pago robados, según las estimaciones, podría situarse entre 12,7 y 115 millones.

En la demanda, Google describe la estructura de la red como multinivel: unos participantes se encargan de recopilar y vender bases de datos de posibles víctimas, otros proporcionan el envío masivo de mensajes, otros usan los datos robados para sustraer fondos, y administradores encargados coordinan el proceso. Los 25 implicados, según la compañía, participaron de una u otra forma en la gestión o el soporte de esa infraestructura.

El conjunto de software Lighthouse emplea métodos avanzados de evasión: filtrado por direcciones IP y user-agent, limitación de la vida útil de las URL y rotación de dominios. Esto permite evitar bloqueos y detección durante más tiempo. Además, los estafadores utilizan no solo centros de SMS, sino también enviadores masivos de SMS portátiles, lo que les da la capacidad de enviar mensajes desde cualquier lugar.

Google señala que la lucha contra la red Lighthouse lleva ya varios años y requiere recursos significativos. Aunque los acusados presuntamente se encuentran en China y pueden no comparecer en un tribunal estadounidense, presentar la demanda en el Distrito Sur de Nueva York permite a la compañía obtener resoluciones judiciales que ayuden a bloquear la infraestructura de los operadores de phishing en todo el mundo. Una decisión judicial, si se dicta a favor de Google, le permitiría exigir la eliminación de los dominios y alojamientos vinculados, así como presentar demandas similares contra intermediarios que apoyen la actividad de los delincuentes.

La corporación afirmó que apoya las iniciativas del Congreso de EE. UU. destinadas a combatir los esquemas fraudulentos, las llamadas y los envíos masivos. Google confía en que precedentes judiciales de este tipo pueden generar un efecto disuasorio y facilitar a las empresas tecnológicas el desmantelamiento de redes criminales enteras.

La plataforma Lighthouse se considera una de las principales componentes del llamado Smishing Triad chino —una agrupación de grupos que se especializan en el envío de mensajes falsos en nombre de entidades públicas y comerciales. En los últimos años, estos grupos han mejorado activamente sus herramientas: las plantillas de phishing se actualizan regularmente, se añaden nuevos escenarios y métodos de ingeniería social. Algunas versiones de Lighthouse permiten no solo recopilar datos de tarjetas, sino también agregarlos automáticamente a monederos digitales en Android y iOS, lo que acelera el robo de fondos.

Los analistas señalan que los sindicatos de phishing de habla china se distinguen por su alta adaptabilidad. Tras cada gran desmantelamiento se apresuran a cambiar dominios, actualizar el código e introducir nuevos mecanismos de camuflaje. Sus herramientas permiten interceptar en tiempo real códigos de verificación, suplantar páginas de inicio de sesión e imitar interfaces de servicios bancarios. A pesar de la presión judicial, esta actividad sigue siendo una de las más agresivas del mundo, y el volumen global de ataques de phishing continúa creciendo.