La batalla de Google contra Lighthouse, la red china que estafa a millones mediante mensajes falsos

En los últimos años, estos estafadores chinos han enviado millones de mensajes de texto fraudulentos, a menudo haciéndose pasar por el Servicio Postal de Estados Unidos (USPS) o por empresas de cobro de peajes, y supuestamente han ganado más de mil millones de dólares con sus descaradas estafas.

En una de las acciones más notorias contra los criminales hasta la fecha, Google demanda a los presuntos miembros de un «implacable» grupo chino de ‘smishing’ (suplantación de identidad mediante mensajes de texto), que según afirma, ha intentado defraudar a personas en más de 120 países de todo el mundo. En una demanda civil presentada en el Distrito Sur de Nueva York, Google alega que 25 personas anónimas han operado como parte de la red de estafa «Lighthouse» y han enviado mensajes de texto a millones de estadounidenses en una operación de gran envergadura.

Red Lighthouse

De acuerdo con la demanda de la gigante tecnológica, además de «robar» información y dinero a los usuarios, Lighthouse, conocida en ocasiones como parte de la «tríada del smishing«, también «se aprovecha de la confianza pública en Google» utilizando sus logotipos en sitios web fraudulentos y abusando de sus sistemas y tecnología. «El aumento de las estafas se debe en gran medida a la acción de redes de delincuencia organizada, y la mayoría de ellas son transnacionales. La red Lighthouse tiene un alcance enorme», alega Halimah DeLaine Prado, consejera general de Google, en una entrevista con WIRED.

El grupo Lighthouse es uno de los varios grupos de smishing de habla china que han surgido en los últimos años. Envían mensajes fraudulentos a miles de personas a través de SMS, el servicio RCS de Google o iMessage de Apple. Cada mensaje se hace pasar por una organización, como empresas de mensajería, bancos o servicios policiales, e incluye un enlace a un sitio web fraudulento. Si alguien introduce sus datos en estos sitios web falsos, los estafadores pueden recopilar su información personal y sus datos bancarios en tiempo real. Algunos de los grupos también son conocidos por crear sitios de compras en línea apócrifos que también pueden robar datos.

Un elemento central de la operación de Lighthouse es su software de estafa. Del mismo nombre, este programa lo desarrollan los ciberdelincuentes y luego lo venden como servicio de suscripción a criminales menos capacitados técnicamente, que lo utilizan para enviar los mensajes de texto. Los estafadores pueden adquirir suscripciones «semanales, mensuales, estacionales, anuales o permanentes» para utilizar el software, evidencía la demanda de Google.

«La plataforma Lighthouse es una herramienta de phishing utilizada por los ciberdelincuentes para robar información bancaria y de tarjetas, que ofrece plantillas de phishing ya preparadas, sitios web falsos y herramientas de gestión de backend, lo que permite recopilar nombres de usuario, contraseñas y códigos de un solo uso, y admite el envío de mensajes a gran escala a través de los canales RCS (Rich Communication Services) de iMessage y Google Messages, en lugar de solo SMS», afirma Halit Alptekin, jefe de inteligencia de la empresa de seguridad Prodaft, que ha rastreado el ecosistema de fraudes de habla china. Alptekin añade: «Lighthouse emplea técnicas avanzadas contra la evasión, como el filtrado basado en IP y agentes de usuario, URL de tiempo limitado y rotación de dominios para dificultar la detección».

En un periodo de 20 días, el análisis de Silent Push alegó que la actividad vinculada a Lighthouse se había dirigido a personas de al menos 121 países y que 200,000 sitios web de estafas pueden vincularse a la red. Según la investigación, es probable que el número de mensajes fraudulentos que los ciberdelincuentes envían cada día sea «significativamente superior» a 100,000. Citando un estudio del CSIS Security Group, Google afirma que la red Lighthouse podría haber robado entre «12.7 y 115 millones» de datos de tarjetas de crédito o bancarias tan solo en EE UU.

Una operación criminal con múltiples peldaños

La demanda de Google contra dos docenas de personas a las que dice haber vinculado con la operación Lighthouse alega que la red está formada por varios tipos de ciberdelincuentes: intermediarios de datos, que proporcionan listas de personas a las que dirigir las estafas; spammers, que proporcionan la tecnología necesaria para enviar mensajes en masa; un grupo de ladrones que utiliza datos de cuentas robados para acceder a las cuentas bancarias de las víctimas; y administradores que organizan los grupos. La demanda afirma que las 25 personas contra las que se dirige han «participado en la gestión o el funcionamiento» de la estafa Lighthouse.

Lighthouse «ofrece» más de 600 plantillas de phishing que los estafadores pueden utilizar para intentar robar la información personal de los usuarios, indica la presentación legal de Google: «Estas suplantan la identidad de más de 400 entidades u organizaciones. Los usuarios de Lighthouse pueden filtrar y buscar plantillas por región geográfica, país, sitio web oficial y hora de actualización». Alrededor de 200 de estas plantillas suplantan a organizaciones de Estados Unidos, como el Servicio Postal de EE UU, el sitio web del gobierno de la ciudad de Nueva York, el sitio web de E-ZPass de Nueva York, los sitios web de varios departamentos de transporte estatales y otros. Según la demanda, en total, 116 plantillas de phishing utilizan la marca de Google o la de sus productos Gmail, YouTube o Google Play.