- Se han identificado más de 18.000 routers industriales expuestos en internet, con al menos 572 permitiendo acceso libre a sus interfaces de programación.
- La mayoría de estos dispositivos ejecutan firmware obsoleto con vulnerabilidades conocidas, facilitando su explotación para enviar mensajes de phishing.
- Las campañas, detectadas desde octubre de 2023, se dirigen principalmente a usuarios en Suecia, Bélgica e Italia, instándoles a verificar identidades a través de enlaces maliciosos.
Investigadores de la empresa de ciberseguridad Sekoia han alertado sobre el uso de routers celulares industriales para orquestar campañas de smishing a gran escala. Estos dispositivos, fabricados por Milesight IoT Co., Ltd., se utilizan habitualmente para conectar infraestructuras críticas como semáforos o medidores eléctricos a redes centrales. Sin embargo, una configuración insegura y la falta de actualizaciones han convertido a miles de ellos en puntos de partida para el envío masivo de mensajes de texto fraudulentos.
El análisis de rastros de red sospechosos reveló cómo estos routers, equipados con tarjetas SIM para redes 3G/4G/5G, eran controlados remotamente para enviar SMS con enlaces de phishing. Se estima que más de 18.000 de estos dispositivos son accesibles desde internet, y un número significativo permite el acceso libre a sus interfaces de programación. La mayoría de los routers comprometidos ejecutaban versiones de firmware con más de tres años de antigüedad, lo que los hacía particularmente susceptibles a ataques.
Las campañas detectadas, que se remontan a octubre de 2023, han afectado a usuarios en varios países, con un enfoque particular en Suecia, Bélgica e Italia. Los mensajes fraudulentos solicitaban a los destinatarios que iniciaran sesión en diversas cuentas, a menudo relacionadas con servicios gubernamentales, para verificar su identidad. Los enlaces incluidos dirigían a sitios web falsos diseñados para robar credenciales. Sekoia señala que este método representa un vector de entrega de smishing relativamente simple pero efectivo, que complica los esfuerzos de detección y desmantelamiento debido a su naturaleza descentralizada.
Aunque no se ha confirmado el método exacto de compromiso, una posible vía es la vulnerabilidad CVE-2023-43261, corregida en 2023. Esta falla permitía que archivos sensibles, incluyendo contraseñas cifradas y claves de cifrado, fueran accesibles públicamente. Sin embargo, algunos hallazgos de la investigación contradicen esta teoría, sugiriendo que otros mecanismos podrían estar en juego. Los sitios de phishing, por su parte, empleaban técnicas como JavaScript para dificultar el análisis y la ingeniería inversa, y algunos registraban las interacciones de los usuarios a través de un bot conocido en Telegram.