2021 fue el año del phishing por SMS y, desgraciadamente, en 2022 la cosa no ha amainado. Flubot fue el ejemplo más devastador de lo que los atacantes podían llegar a conseguir al hacerse pasar por compañías de mensajería: en meses consiguieron 60.000 teléfonos infectados, que contribuyeron, como veremos, a un daño mucho mayor.
Después de la mensajería, llegaron los SMS de entidades bancarias, supermercados y muchas otras variantes. Con todo ello, siempre surgía la misma pregunta: sabemos cómo nos atacan y por qué, pero ¿cómo tienen nuestros números?
Cómo se hacen con nuestros números de teléfono
No se puede dar una respuesta clara, pero toca volver a hablar de Flubot. En marzo de 2021 se estimaba que con este SMS de Fedex, DHL y otras mensajeras, los responsables lograron hacerse con 11 millones de números españoles, y es probable que desde entonces, más de un año después, la cifra subiera mucho. Es una base de datos de teléfonos muy grande (y con nombres en muchos casos) a la que poder empezar a atacar.
Y obtenerla para ellos fue tan sencillo como que las víctimas se instalaran las aplicaciones fraudulentas en Android y, sin saberlo, compartieran toda su lista de contactos, a la que además también se enviaba luego el SMS para que se lo instalaran y siguieran la cadena. Que controlar tal cantidad de teléfonos sea algo tan trivial para los atacantes, gracias al permiso de accesibilidad de Android, es algo con lo que Google está empezando a luchar en Android 13.
Otras posibilidades para hacerse con muchos números de teléfono fueron la brecha de Facebook, que dejó también 11 millones de números españoles al descubierto, y la brecha de The Phone House, que permitió a unos atacantes con Ransomware hacerse con más de 5,2 millones de registros y correos electrónicos, muchos de ellos asociados a números de teléfonos españoles. Estas dos bases de datos se obtienen fácilmente en la Deep Web.
En 2022 no hemos vivido algo tan serio como estas brechas, y finalmente las estafas parecen haber ido cambiando. No se va, por ejemplo, la de Microsoft, que no es más que un presunto servicio técnico de los de Redmont, tratando de hacerse pasar por trabajadores que nos quieren ayudar.
En cuanto a estafas por SMS, lo que más hemos visto en el último año ha sobre todo, usando el nombre de bancos. A diferencia de lo que veíamos con Flubot, aquí no nos instan a instalar aplicaciones, sino a introducir nuestras credenciales bancarias para supuestamente «iniciar sesión» y solventar algún problema de seguridad. Al final, nos llegan a pedir hasta tarjeta y número de seguridad.
Incluso aunque ya no se vacíen agendas enteras como con Flubot, son enormes las bases de datos de números que pueden haber cosechado entre aquel malware, el caso de Facebook y sobre todo el de The Phone House, con números asociado a teléfonos, direcciones, etc. Lo peor es que todo ello se mueve por grupos de mensajería y webs sin ningún control.