Actores desconocidos han estado explotando routers industriales celulares Milesight desde febrero de 2022 para llevar a cabo campañas masivas de smishing (phishing por SMS) dirigidas a usuarios en países europeos como Suecia, Italia y Bélgica. Los atacantes están utilizando la API expuesta de estos routers para enviar mensajes que suplantan a servicios gubernamentales, bancos, proveedores postales y de telecomunicaciones.
Resumen Técnico del Ataque y Modus Operandi
El ataque explota la configuración y una vulnerabilidad conocida para convertir routers legítimos en una botnet descentralizada de envío de SMS.
- Vector de Entrada: Los atacantes abusan de funciones de SMS que se encuentran expuestas en algunos routers Milesight, las cuales permiten enviar o leer la bandeja SMS sin autenticación. Esto se debe tanto a la explotación de una falla de divulgación de información ya parcheada (CVE-2023-43261) como a simples malas configuraciones de los administradores.
- Alcance: De aproximadamente 18,000 routers Milesight localizables en Internet, al menos 572 exponen APIs de inbox/outbox y son vulnerables. Cerca de la mitad de estos equipos están ubicados en Europa, lo que facilita el ataque de smishing localizado.
- Técnica de Botnet: Los atacantes verifican primero la capacidad de un router para enviar SMS apuntando a sus propios números. Si el envío es exitoso, el dispositivo es integrado en su botnet descentralizada para la distribución de smishing.
Contenido del Phishing
Los SMS contienen URLs con typosquatting (dominios que imitan nombres legítimos).
- Al abrirse desde un dispositivo móvil, el sitio web sirve JavaScript que realiza fingerprinting para verificar que la visita proviene de un teléfono.
- Posteriormente, muestra contenido malicioso, como solicitudes para “actualizar datos bancarios por reembolso” para robar credenciales, datos financieros o códigos 2FA.
- Las páginas de phishing están adaptadas a múltiples idiomas (francés, árabe) e incluyen defensas anti-análisis (bloqueo de clic derecho) y registro de víctimas a través de bots de Telegram (GroozaBot).
Riesgos Clave y Consecuencias
Este tipo de campaña de smishing es particularmente difícil de mitigar debido a su naturaleza distribuida y a la combinación de fallas técnicas y organizacionales.
- La Descentralización Complicada: Al usar cientos de routers repartidos por distintos países, los atacantes pulverizan la fuente de envío. Esto hace que sea ineficaz depender de un único bloqueo de dominio o toma de control de infraestructura.
- Riesgo Organizacional: En muchos casos, el problema no es solo la explotación técnica de una vulnerabilidad, sino la mala configuración (APIs expuestas sin autenticación), lo que subraya un riesgo de proceso y gobernanza en la administración de dispositivos IoT/industriales.
- Riesgo Reputacional: Bancos, administraciones públicas y empresas de telecomunicaciones sufren una grave suplantación de imagen, perdiendo la confianza de los usuarios.
Recomendaciones
- Aplicar Parches y Firmware
- Actualización Urgente: Instala las últimas versiones de firmware inmediatamente en todos los modelos afectados, corrigiendo la CVE-2023-43261 y otras fallas relacionadas. Verifica la versión instalada.
- Cerrar y Limitar Acceso a APIs
- Bloqueo de Exposición: Cerrar o restringir el acceso público a los endpoints de administración, inbox/outbox o las APIs SMS.
- Acceso Controlado: Permitir el acceso a estas APIs solo desde IPs de gestión internas o exigir una conexión a través de VPN antes de acceder a la interfaz de administración.
- Revisar Configuraciones por Defecto
- Autenticación Estricta: Asegúrate de que no haya APIs expuestas sin autenticación.
- Credenciales: Cambiar inmediatamente las credenciales por defecto y utilizar autenticación robusta para todos los servicios de administración.
