Cibercriminales explotan routers para enviar SMS de phishing en europa

La amenaza del smishing avanza de manera silenciosa y efectiva en Europa, donde grupos de hackers están explotando vulnerabilidades en routers celulares industriales de la marca Milesight para enviar mensajes SMS maliciosos con URLs de phishing. Esta campaña, detectada desde al menos febrero de 2022 y analizada por la empresa francesa de ciberseguridad SEKOIA, afecta principalmente a países como Suecia, Italia y Bélgica, utilizando enlaces que imitan plataformas oficiales gubernamentales, así como servicios bancarios, postales y de telecomunicaciones. Método de ataque y vulnerabilidades explotadas Los atacantes aprovechan una falla de divulgación de información (CVE-2023-43261) que ya fue corregida, pero sigue afectando a decenas de miles de routers accesibles en Internet, de los cuales más de 570 son potencialmente vulnerables por exponer APIs de bandeja de entrada y salida de SMS sin autenticación. Esto les permite no solo enviar mensajes falsos, sino también acceder a mensajes enviados y recibidos, lo que evidencia una campaña orientada y continua. Además, se ha observado que los atacantes realizan validaciones previas para comprobar si el router puede enviar SMS mediante el envío a números bajo su control. Algunos routers con firmware actualizado son inmunes, pero la mala configuración de muchos sigue facilitando el ataque. Características del phishing distribuido Los URLs maliciosos contienen códigos JavaScript diseñados para detectar si la víctima accede desde un dispositivo móvil, mostrando así contenido que induce a actualizar información bancaria con supuestos reembolsos. También incluyen mecanismos para impedir la inspección, como la desactivación del clic derecho y de herramientas de desarrollo del navegador. Un dominio utilizado, jnsi[.]xyz, registra además las visitas mediante un bot de Telegram operado por un actor llamado "Gro_oza", que habla árabe y francés, lo cual indica un nivel organizativo detrás de esta campaña. Impacto y retos en ciberseguridad SEKOIA destaca que, aunque la técnica es poco sofisticada, su efectividad y la descentralización en el envío de SMS a través de estos routers complican la detección y remediación. La exposición de esta infraestructura en múltiples países y la dificultad para abordar cada nodo vulnerable representan un desafío considerable. Recomendaciones clave para profesionales de TI Realizar auditorías y actualizar el firmware de routers industriales para corregir estas vulnerabilidades. Bloquear accesos no autorizados a APIs que permitan la manipulación de SMS. Monitorizar el tráfico SMS asociado a infraestructura crítica y detectar comportamientos anómalos. Educar a los usuarios para evitar caer en engaños que solicitan información personal desde SMS y enlaces sospechosos. Esta campaña pone de manifiesto cómo vectores aparentemente simples, como routers industriales, pueden convertirse en una poderosa herramienta para ataques de smishing a gran escala, y resalta la importancia de una ciberseguridad integral que incluya dispositivos menos convencionales en el perímetro de defensa digital. Si se desea, se puede complementar con un análisis técnico o guía práctica para mitigación.