El 12 de noviembre, Google presentó una demanda en una corte federal de Nueva York con el fin de desarticular una red de estafadores que, según afirma, opera una estafa internacional de smishing con sede en China que presuntamente robó millones de dólares a clientes de Estados Unidos.
La demanda judicial identifica a los autores únicamente como una sucesión de John Does, numerados del 1 al 25.
"La estafa comienza con un mensaje de texto", se lee en el documento. "Puede alertarle de un problema con la entrega de un paquete e invitarle a hacer clic en un enlace para corregir su dirección y pagar una pequeña tarifa de envío".
"O puede advertirle de un peaje o una multa sin pagar, dirigiéndole a un sitio web de cobro de peajes que parece legítimo para pagar los cargos pendientes", dice.
A veces, los estafadores dicen que el destinatario tiene que hacer una pequeña transacción, de tan solo un dólar, para verificar su cuenta, explicó Jurgita Lapienyte, redactora jefe de Cybernews, a The Epoch Times.
Cuidado con los mensajes de código único
"Así que le envían un código de un solo uso para confirmar la transacción", dijo Lapienyte. "De hecho, lo que hacen al enviarle ese código es vincular los números de las tarjetas que usted introdujo a sus teléfonos".Los ataques de phishing, que ya en la década de 1990 utilizaban correos electrónicos para estafar a víctimas desprevenidas, evolucionaron hasta convertirse en ataques de smishing, que utilizan mensajes de texto o SMS.
Las estafas también evolucionaron hacia ataques de phishing de voz o vishing, que implican clonar voces para suplantar a un amigo, familiar o colega con el fin de engañar a las personas para que realicen transacciones erróneas y fraudulentas.
La demanda de Google afirma que el grupo chino utilizó un software de phishing como servicio llamado "Lighthouse" y creó alrededor de 200,000 sitios web falsos en un periodo de 20 días para engañar a personas en Estados Unidos.
Los smishers de Lighthouse se hacían pasar por representantes de Google, el Servicio Postal de Estados Unidos o el sistema de cobro de peajes E-ZPass, todos ellos conocidos por enviar mensajes SMS auténticos en determinadas circunstancias.
Google solicitó una indemnización por daños y perjuicios de cuantía indeterminada a los estafadores chinos, pero en realidad, según Lapienyte, sabe que nunca recuperará el dinero.
Alphabet, la empresa matriz de Google, anunció unos ingresos de USD 102 mil millones en el último trimestre.
"Google está tratando de arrojar algo de luz sobre este tema y llamar la atención", dijo Lapienyte. "Y también está impulsando algunos proyectos de ley bipartidistas para encontrar una forma de proteger mejor a los ciudadanos de este tipo de estafas, en las que es casi imposible recuperar los fondos".
Actualmente hay tres proyectos de ley ante el Congreso destinados a abordar las estafas de phishing y smishing. Se trata de la Ley de Protección de los Jubilados Mayores Desprotegidos contra el Engaño, la Ley de Eliminación de Llamadas Automáticas Extranjeras y la Ley de Responsabilidad y Movilización contra las Estafas.
"Animamos al Congreso a que apruebe estos proyectos de ley cruciales y ayude a poner fin de forma decisiva al perjuicio y los daños financieros causados por los ciberdelincuentes extranjeros", afirmó la consejera general de Google, Halimah DeLaine Prado, en una declaración publicada en el blog de la empresa.
Sin embargo, hay quienes dudan de los motivos de Google.
"Amenazas legales"
Andy Jenkinson, miembro del Cyber Theory Institute y autor del libro "De Stuxnet a Sunburst: 20 años de explotación digital y guerra cibernética", calificó la demanda como "amenazas legales diseñadas para proyectar fuerza en lugar de lograr algo significativo"."Es una maniobra de relaciones públicas sin resultados prácticos", afirmó Jenkinson.
Los estafadores de Lighthouse inevitablemente se reorganizarán, se reagruparán y aparecerán en otro lugar, afirmó Lapienyte.
"Puedes denunciar un sitio web, pero luego aparece otro similar, tal vez con un dominio ligeramente diferente. Por lo tanto, es muy difícil para las fuerzas del orden combatir esto", afirmó.
Jenkinson afirmó que la mayoría de los sitios fraudulentos suelen funcionar con la infraestructura de Internet convencional.
"El alojamiento, los certificados y los servicios de back-end provienen de los principales proveedores, a menudo empresas estadounidenses. Las grandes tecnológicas están facilitando la ciberdelincuencia, de forma consciente o inconsciente", afirmó Jenkinson.
"La sonada demanda de Google es emblemática de una verdad más profunda: los ciberdelincuentes están evolucionando más rápido de lo que las grandes tecnológicas pueden reaccionar, y las acciones legales que acaparan los titulares tienen poca repercusión en la práctica", afirmó.
Lapienyte dijo que Lighthouse era uno de los grupos que, en conjunto, se conocen como la "tríada del smishing".
La empresa de inteligencia cibernética Silent Push afirmó que, el 18 de marzo, el desarrollador del software Lighthouse lanzó un canal de Telegram para darlo a conocer y ofrecerlo a los estafadores.
"Nuestros analistas obtuvieron los datos del registro del servidor de Smishing Triad y determinaron que parte de la infraestructura del grupo generó más de un millón de visitas a la página en un periodo de solo 20 días, con una media de 50,000 al día", afirmó Silent Push en un informe publicado en mayo.
"Basándonos en estos datos, creemos que el número real de mensajes enviados puede ser significativamente superior a las estimaciones públicas actuales de 100,000 mensajes SMS enviados al día", afirmó Silent Push.
DeLaine Prado, consejera general de Google, afirmó que el grupo Lighthouse atacó 120 países y robado hasta 115 millones de tarjetas de crédito solo en Estados Unidos. También afirmó que los ataques de smishing se multiplicaron por cinco desde 2020.
Google afirmó que estaba solicitando una orden judicial para desarticular la organización criminal responsable del plan Lighthouse.
"Millones de estadounidenses recibieron estos mensajes de texto y vieron estos anuncios, hicieron clic en enlaces a sitios web fraudulentos, introdujeron información de pago y otros datos personales y, por lo tanto, se convirtieron en víctimas del plan criminal que constituye el núcleo de esta demanda", afirmó Google en la demanda.
La estrategia de Google es "inteligente"
La estrategia de Google es "inteligente", afirmó Lapienyte, señalando que el objetivo final podría ser Alibaba y Tencent, las empresas chinas que, según ella, alojaban la mayoría de los sitios web falsos de los estafadores.Afirmó que si un juez federal del Distrito Sur de Nueva York dictamina que las empresas y los particulares estadounidenses sufrieron daños, Google podría acudir a Alibaba, Tencent y otros proveedores de alojamiento web en China y emprender acciones legales contra ellos por haber sido "instrumentales" en la facilitación de una operación de ciberdelincuencia.
Jenkinson no está de acuerdo.
Se trata de "un caso clásico de proyección psicológica: culpar a otros para enmascarar sus propias debilidades", afirmó.
"Google está facilitando el phishing de forma inequívoca", afirmó Jenkinson, destacando las inconsistencias técnicas y el incumplimiento de las normas básicas de cumplimiento, como la Certificación del Modelo de Madurez de Ciberseguridad.
The Epoch Times se puso en contacto con Google, Alibaba y Tencent, pero no recibió respuesta.
