Google ha presentado una demanda civil contra Lighthouse, una plataforma de phishing‑as‑a‑service (PhaaS) utilizada para campañas de smishing que suplantan a USPS, E‑ZPass y otras marcas de alta confianza. Según la compañía, la operación ha afectado a más de 1 millón de usuarios en 120 países y, solo en Estados Unidos, permitió la sustracción de aproximadamente 115 millones de datos de tarjetas de pago entre julio de 2023 y octubre de 2024. La acción legal invoca leyes federales contra el crimen organizado, el fraude y los delitos informáticos, y busca el desmantelamiento total de la infraestructura del servicio.
Alcance del ataque y marcas suplantadas: USPS, E‑ZPass y más
El patrón más frecuente observado es el envío de mensajes sobre supuestas “deudas” de peajes o incidencias de entrega, que redirigen a páginas falsas de E‑ZPass o USPS para capturar datos de tarjetas. Google señala además la imitación de bancos, entidades sanitarias, pasarelas de pago, fuerzas del orden y redes sociales, ampliando el espectro de potenciales víctimas y elevando la tasa de clics mediante ingeniería social.
Cómo opera Lighthouse: PhaaS y smishing vía iMessage y RCS
Lighthouse ofrece plantillas “llave en mano”, alojamiento y utilidades de envío masivo. La entrega a través de iMessage y RCS le permite evadir controles creados para SMS tradicionales, reduciendo la fricción para actores maliciosos: basta con una suscripción y la elección de una plantilla alineada con el guion deseado. Este enfoque de “cadena de suministro del fraude” estandariza el phishing y acelera su escala.
Abuso de marcas y confianza del usuario
Google afirma haber identificado al menos 107 plantillas que incorporan logotipos y elementos visuales de la compañía, explotando ilegalmente marcas registradas para reforzar la credibilidad de las páginas de inicio de sesión falsas. Este patrón incrementa la tasa de conversión de las estafas al apoyarse en marcas de confianza.
Estrategia legal de Google: desmantelamiento e identificación de operadores
La demanda busca confiscar dominios y obtener, mediante órdenes judiciales, datos técnicos de operadores y afiliados: direcciones IP, registros de actividad y detalles de pago. Incluso sin conocer las identidades reales, este enfoque ha demostrado eficacia en la industria. Microsoft, por ejemplo, ha impulsado resoluciones contra servicios de phishing como ONNX y RaccoonO365, neutralizando infraestructura crítica y mermando la capacidad operativa de los grupos.
Vínculos, modelo de negocio y Telegram: del “Smishing Triad” al rebranding
Investigaciones de Cisco Talos relacionan Lighthouse con un actor chino conocido como Wang Duo Yu, quien presuntamente distribuye y da soporte a kits de phishing vía canales de Telegram. Desde octubre de 2024, varias células habrían ejecutado oleadas de smishing en estados como Washington, Florida, Pensilvania, Virginia, Texas, Ohio, Illinois y Kansas, con falsos avisos de E‑ZPass.
De acuerdo con Netcraft, Lighthouse opera con suscripciones que oscilan entre $88 por semana y $1.588 por año, con plantillas altamente configurables para robar credenciales, contraseñas, códigos 2FA y datos de pago. El periodista Brian Krebs apunta que los operadores actuaban previamente bajo el alias Smishing Triad y efectuaron un rebranding a Lighthouse en marzo de 2025.
Medidas de ciberseguridad: cómo mitigar smishing y PhaaS
Para usuarios: evitar abrir enlaces de mensajes inesperados sobre “pagos” o “multas”; comprobar el estado desde la app oficial o URL tecleada manualmente. Activar alertas de transacción y límites en tarjetas; emplear llaves de seguridad o aplicaciones de autenticación en lugar de SMS para 2FA; y reportar dominios sospechosos.
Para organizaciones: desplegar monitorización de marca y derribo veloz de dominios; filtrado del tráfico móvil (iMessage/RCS) con inspección de URLs; autenticación robusta sin SMS; telemetría y detección de amenazas para identificar campañas; y formación específica sobre smishing y verificación fuera de banda. La coordinación con registradores, proveedores de alojamiento y pasarelas de pago acelera la interrupción de la cadena logística del fraude.
La ofensiva legal de Google evidencia una evolución en la lucha contra el phishing‑as‑a‑service: golpear la infraestructura y exponer a sus operadores reduce la rentabilidad delictiva. Mientras progresa el caso, la combinación de higiene digital, autenticación resistente al phishing y respuesta ágil ante nuevas vías de entrega —como iMessage y RCS— es clave para disminuir el impacto y desincentivar futuras campañas.
