Investigadores de Sekoia han identificado campañas en curso, activas desde 2023, que abusan de routers celulares Milesight como gateways descentralizados para phishing por SMS (smishing). El hallazgo, obtenido mediante análisis de honeypots y telemetría de red, muestra cómo la infraestructura IoT industrial puede convertirse en plataforma de envío masivo de mensajes maliciosos desde tarjetas SIM legítimas, dificultando el filtrado a nivel de operadores y antispam.
Smishing a través de routers IoT Milesight: qué está ocurriendo
Los routers celulares Milesight —empleados en redes 3G/4G/5G para conectar activos como semáforos, contadores o nodos remotos— admiten gestión por SMS, scripts en Python y panel web. Al comprometer estos equipos, los atacantes automatizan el envío de SMS con URL de phishing que redirigen a páginas de inicio falsas con el objetivo de robar credenciales. Este patrón reduce señales típicas de fraude, ya que los mensajes provienen de SIM locales y legítimas.
Exposición global y vectores de compromiso en IoT/IIoT
Según Sekoia, existen en Internet más de 18.000 routers Milesight accesibles, y al menos 572 publicaban APIs sin autenticación. Una proporción significativa opera con firmware obsoleto (más de tres años) y configuraciones por defecto, ampliando la superficie de ataque y el riesgo de abuso.
CVE‑2023‑43261 y otras superficies de ataque
Se baraja la explotación de CVE‑2023‑43261 (corregida en la versión de firmware 35.3.0.7). Sin embargo, Sekoia observó dispositivos comprometidos que no eran vulnerables a esa falla, lo que apunta a vectores alternativos: APIs expuestas o mal protegidas, contraseñas débiles, paneles web sin endurecer y módulos de gestión por SMS/Python desactualizados. En numerosos casos, basta la exposición en Internet de un servicio sin autenticación para invocar funciones de envío de mensajes.
Cómo operan las campañas: del SMS a la captura de credenciales
Las oleadas de smishing afectaron a usuarios de varios países, con mayor actividad en Suecia, Bélgica e Italia. Los mensajes solicitaban “verificar identidad” o iniciar sesión en servicios que imitaban organismos públicos o plataformas populares. Las páginas de destino aplicaban controles en JavaScript para mostrar contenido solo en móviles, bloqueaban clic derecho e impedían la depuración. Se detectó además el uso de GroozaBot (Telegram) para telemetría de visitas; el operador, bajo el alias Gro_oza, se asociaría con hablantes de árabe y francés.
Impacto en ciberseguridad móvil e industrial
El uso de routers celulares como hubs distribuidos otorga a los atacantes resiliencia y evasión: los SMS salen desde múltiples países y SIM legítimas, erosionando reglas simples de bloqueo. En entornos IIoT/OT, este abuso introduce riesgos adicionales: filtración de datos, movimiento lateral hacia segmentos adyacentes y fraude por SMS/pumping con pérdidas financieras directas para los titulares de las SIM.
Medidas de mitigación: endurecimiento de Milesight y defensa en profundidad
- Actualizar inmediatamente a 35.3.0.7 o superior y aplicar hotfixes del fabricante.
- Retirar de Internet APIs y paneles sin autenticación; exponer la administración solo vía VPN/Zero Trust con MFA.
- Deshabilitar o limitar funciones de gestión por SMS; aplicar rate limiting y filtros geográficos al envío de SMS.
- Eliminar credenciales por defecto y aplicar políticas de contraseñas robustas y rotación de secretos.
- Monitorizar volúmenes de SMS y anomalías con el operador; configurar alertas por picos y destinos inusuales.
- Segmentar redes IIoT/OT, evitar salida directa a Internet de interfaces de control y aplicar ACL.
- Auditar scripts de Python y tareas programadas para detectar cargas no autorizadas; realizar revisiones periódicas de configuración.
La evidencia de Sekoia y boletines de seguridad del proveedor confirman que no se requiere infraestructura costosa para desplegar smishing a escala mediante IoT. La hoja de ruta prioritaria: inventariar activos IoT/IIoT, eliminar interfaces abiertas, parchear con celeridad y consolidar el monitoreo de tráfico y facturación. Consulte las referencias de Sekoia, los avisos del fabricante y fuentes como el NVD para CVE‑2023‑43261, y mantenga un programa continuo de endurecimiento y detección. Actúe hoy: revise su huella de exposición, aplique controles de acceso y establezca alertas proactivas antes de que su router se convierta en un remitente invisible de phishing por SMS.
