El largo brazo de la ley finalmente comienza a frustrar el smishing.

Cómo las acciones legales y la tecnología están intentando cerrar esquemas globales de phishing por SMS

Conclusiones

• Google presentó una demanda contra el grupo delictivo cibernético Smishing Triad, enfocándose en su plataforma de phishing-as-a-service, Lighthouse, utilizando la Ley RICO, la Ley Lanham y la Ley de Fraude y Abuso Informático.
• Lighthouse ha estado operando desde 2023 y es responsable de recopilar millones de números de tarjetas de crédito, con un aumento de cinco veces en los ataques desde 2020 que afecta a víctimas en más de 120 países.
• Google está colaborando con el Congreso en la legislación pendiente para equipar mejor a los estados y agencias para combatir las estafas, incluidas medidas para investigar el fraude financiero, detener las llamadas automáticas internacionales y abordar las estafas compuestos.
• Google ha mejorado su plataforma con herramientas de IA para detectar y marcar proactivamente mensajes de estafa comunes, como aquellos relacionados con peajes o entregas de paquetes.

A lo largo de los años se ha protestado mucho por los limitados recursos que ofrece el sistema legal, dado el simple hecho de que los ciberataques pueden originarse prácticamente desde cualquier lugar. Con demasiada frecuencia, no se ha podido hacer prácticamente nada para detener estos ataques, ya que los países desde los que se lanzan no se preocupan especialmente por el impacto que puedan tener más allá de sus fronteras.

Sin embargo, de vez en cuando se recupera algo de fe en el sistema legal. Como parte de una estrategia múltiple para frustrar una operación global de smishing que apuntó a más de un millón de víctimas utilizando mensajes de texto que advertían sobre paquetes no entregados o peajes de E-ZPass no pagados para solicitar información personal y números de tarjetas de crédito, Google presentó una demanda que busca desmantelar una plataforma de phishing-as-a-service (PhaaS) conocida como Lighthouse que ha sido utilizada por un grupo de ciberdelincuencia apodado Smishing Triad para lanzar estas campañas.

Impacto de la demanda de Google contra Smishing Tríad

Específicamente, Google ha presentado una demanda bajo la Ley de Organizaciones Corruptas e Influenciadas por el Crimen Organizado (RICO), la Ley Lanham y la Ley de Fraude y Abuso Informático para cerrar Lighthouse. Como parte de este esfuerzo, Google también compartió un mensaje publicado por la entidad receptora Lighthouse que, en chino, decía que un "servidor en la nube ha sido bloqueado debido a quejas maliciosas".

No está claro cómo se logró esa perturbación porque Lighthouse y otros proveedores de plataformas similares de PhaaS utilizan múltiples proveedores de servicios en la nube, pero se supone que los proveedores de los servicios en la nube utilizados para lanzar estos ataques no están muy interesados en ser nombrados en una demanda. Como resultado, parece que los proveedores de servicios en la nube están prestando más atención a cómo estos sindicatos están aprovechando la infraestructura que ponen a disposición y, lo que es igualmente importante, están tomando medidas para bloquear ese tráfico.

Por desgracia, ya se ha causado mucho daño. Lighthouse lleva en funcionamiento desde 2023 y, en los últimos dos años, ha recopilado entre 12,7 y 115 millones de tarjetas de crédito en Estados Unidos. En total, estos ataques se han multiplicado por cinco desde 2020, afectando a víctimas en más de 120 países.

La acción legislativa y la innovación en IA fortalecen los esfuerzos frente a las estafas

Además de utilizar las leyes existentes para llevar a los perpetradores de estas estafas ante la justicia, Google también reveló que está trabajando con miembros del Congreso para aprobar tres proyectos de ley pendientes destinados a proteger a los ciudadanos estadounidenses frente a las estafas.

Uno está diseñado para permitir que los estados utilicen subvenciones federales para investigar fraudes financieros y estafas que tienen como objetivo a los jubilados, mientras que otro crearía un grupo de trabajo que investigaría cómo bloquear las llamadas automáticas que se originan en otro país antes de que lleguen a los estadounidenses. El tercero crearía una estrategia nacional para abordar los complejos de estafa, que son sitios masivos que atraen a personas de otros países a participar en estafas online que involucran desde romances hasta inversiones financieras.

Finalmente, Google también ha añadido a su plataforma la capacidad de aprovechar inteligencia artificial (IA) para detectar y marcar mensajes de estafa comunes que involucran, por ejemplo, peajes o entregas de paquetes.

Creciente presión para combatir las estafas online

Es muy pronto para decir qué impacto tendrán todos estos esfuerzos por hacer que internet sea más seguro para el ciudadano promedio, pero al menos se está enviando un mensaje, especialmente a los proveedores de servicios de internet y en la nube que algún día podrían verse acusados de violar las leyes RICO si se llegara a demostrar que sabían cómo sus servicios estaban siendo utilizados por actores maliciosos.

La triste realidad es que, aunque determinar quién es el propietario de la infraestructura informática utilizada para lanzar estas estafas requiere cierto esfuerzo, no es imposible. La cuestión entonces es tener la fuerza de voluntad no solo para informar a los proveedores de estos servicios de cómo se están utilizando indebidamente, sino también para dejar claro que, en última instancia, serán responsables.