Un cartel en la sede de Google el jueves 23 de octubre de 2025, en Mountain View, California, EE.UU.
Benjamín Fanjoy | Bloomberg | Imágenes falsas
Google presentó una demanda el miércoles contra un grupo extranjero de cibercrimen detrás de una operación masiva de phishing o “smishing” por SMS.
La organización, apodada “Smishing Triad” por algunos investigadores cibernéticos, tiene su sede principalmente en China, dijo Google, y utiliza un kit de phishing como servicio llamado Lighthouse para crear y desplegar ataques utilizando textos engañosos.
Google dijo en un comunicado que el grupo criminal ha causado más de 1 millón de víctimas en 120 países.
“Se estaban aprovechando de la confianza de los usuarios en marcas de renombre como E-ZPass, el Servicio Postal de Estados Unidos e incluso Google”, dijo a CNBC la asesora general de Google, Halima Delaine Prado. “Las empresas o el software ‘Lighthouse’ crean una gran cantidad de plantillas que crean sitios web falsos para extraer información del usuario”.
Google busca desmantelar el grupo y la plataforma Lighthouse, presentando demandas bajo la Ley de Organizaciones Corruptas e Influenciadas por Racketeers (RICO), la Ley Lanham y la Ley de Abuso y Fraude Informático (CFAA).
Los textos suelen contener enlaces maliciosos a sitios web falsos diseñados para robar información financiera confidencial de las víctimas, incluidos números de Seguro Social y credenciales bancarias.
Los mensajes suelen aparecer en forma de alertas de fraude falsas, actualizaciones de información de entrega, avisos de tarifas gubernamentales impagas u otros mensajes de texto aparentemente urgentes.
Según Google, el grupo criminal ha robado entre 12,7 y 115 millones de tarjetas de crédito sólo en Estados Unidos.
“El objetivo es evitar su propagación continua, disuadir a otros de hacer lo mismo y proteger tanto a los usuarios como a las marcas explotadas en estos sitios web de daños futuros”, dijo Delaine Prado.
La compañía Alphabet dijo que descubrió más de 100 plantillas de sitios web generadas por Lighthouse que utilizaban la marca de Google en la pantalla de inicio de sesión para engañar a las víctimas haciéndoles pensar que el sitio era legítimo.
DeLaine Prado dijo que se descubrió que los aproximadamente 2.500 miembros del sindicato se comunicaban en canales públicos de Telegram para reclutar más miembros, compartir consejos y probar y mantener el software Lighthouse.
Añadió que la organización también tenía un grupo de “corredores de datos” que proporcionaba listas de posibles víctimas y contactos, un grupo de “spammer” que era responsable de los mensajes SMS y un grupo de “ladrones” que coordinaba ataques utilizando credenciales obtenidas en los canales públicos de Telegram.
Google dijo que fue la primera empresa en emprender acciones legales contra las estafas de phishing por SMS y apoya tres proyectos de ley bipartidistas destinados a proteger contra futuros fraudes y ataques cibernéticos.
“Si bien el litigio es un vector mediante el cual podemos detenerlo, también creemos que este tipo de actividad cibernética requiere un enfoque basado en políticas”, dijo Delaine Prado.
Los tres proyectos de ley incluyen la Ley de Protección contra el Engaño a los Jubilados Ancianos Desamparados (GUARD), la Ley de Eliminación de Robocalls Extranjeras, que crearía un grupo de trabajo para combatir las llamadas automáticas extranjeras ilegales, y la Ley de Movilización y Responsabilidad Compleja de Fraude, que se enfocaría en el fraude y ayudaría a los sobrevivientes de la trata de personas en los centros.
La demanda es parte de una estrategia más amplia de Google para inculcar conciencia sobre la protección cibernética entre sus usuarios.
La compañía introdujo recientemente características de seguridad adicionales, incluida una herramienta Key Verifier en Google Messages y detección de spam impulsada por inteligencia artificial.
