Campañas de Smishing Chinas Comprometen hasta 115 Millones de Tarjetas de Pago en EE. UU.

Entre julio de 2023 y octubre de 2024, sindicatos de smishing vinculados a China habrían comprometido hasta 115 millones de tarjetas de pago en Estados Unidos, de acuerdo con investigadores de SecAlliance. Estas actividades podrían haber provocado pérdidas económicas por miles de millones de dólares.

Según el informe de SecAlliance, estas campañas destacan por su nivel de sofisticación, utilizando la tokenización de billeteras digitales como Apple Pay y Google Wallet para evadir los mecanismos tradicionales de detección de fraude.

“Estas operaciones representan un cambio de paradigma en el fraude con tarjetas, combinando ingeniería social avanzada por SMS, RCS e iMessage con una infraestructura de phishing altamente sofisticada y técnicas de evasión de autenticación multifactor (MFA) en tiempo real”, explican los investigadores.

El estudio, realizado durante casi dos años, revela que estas campañas han sido orquestadas por sindicatos cibernéticos chinos que han atacado sistemáticamente a víctimas en todo el mundo desde inicios de 2023.

Los investigadores estiman que entre 12.7 millones y 115 millones de tarjetas en EE. UU. han sido afectadas, basándose en análisis propios y en investigaciones de otros expertos independientes.


Evolución de la Infraestructura de Phishing

Las campañas comenzaron como simples estafas de entrega de paquetes, pero evolucionaron hacia plataformas de phishing como servicio (PaaS), operaciones falsas de comercio electrónico y, más recientemente, esquemas de toma de control de cuentas de corretaje financiero.

Una figura clave identificada es un desarrollador de habla china conocido como “Lao Wang”, quien habría lanzado una de las primeras plataformas PaaS populares, integrando funciones para explotar billeteras digitales.

Desde febrero de 2023, “Lao Wang” gestiona un canal en Telegram llamado dy-tongbu, el cual se ha convertido en un mercado activo de servicios de phishing. Pasó de 2,800 miembros en agosto de 2023 a más de 4,400 en 2025.

Los kits de phishing en este canal incorporan defensas avanzadas para dificultar el análisis de los investigadores y resistir eliminaciones:

  • Geovallado para restringir accesos según la región.
  • Bloqueo de IPs de proveedores de hosting conocidos y nodos de salida Tor.
  • Restricciones que sólo permiten el acceso desde dispositivos móviles.

Estas medidas aseguran que los ataques se realicen desde los mismos móviles donde se recibirán los códigos OTP, necesarios para eludir la MFA.

La plataforma usa bases de datos MySQL para almacenar los datos de las víctimas y parámetros de configuración.

El éxito de esta plataforma motivó a otros actores de habla china a desarrollar sus propias versiones centradas en billeteras digitales.


Cómo Funcionan los Ataques de Smishing

Los ataques comienzan con mensajes SMS, RCS o iMessage que contienen señuelos de ingeniería social relacionados con entregas de paquetes, pagos de peaje, reembolsos de impuestos o registros vehiculares.

Estos mensajes contienen enlaces que llevan a sitios de phishing optimizados para móviles, donde se solicita a la víctima ingresar:

  • Nombre completo
  • Dirección física
  • Correo electrónico
  • Número de teléfono

Posteriormente, se pide la información de su tarjeta de pago, bajo la excusa de pequeños pagos por reenvíos, peajes o cargos de procesamiento.

Por último, los atacantes recogen los códigos OTP generados al intentar registrar la tarjeta robada en billeteras digitales controladas por ellos.


El Nuevo Enfoque: Compromiso de Billeteras Digitales

El objetivo principal de estas campañas es explotar los sistemas de tokenización de billeteras digitales, lo que representa un cambio radical en la metodología del fraude con tarjetas.

Mientras que el fraude tradicional con tarjetas robadas depende de plataformas con sistemas de detección, este nuevo enfoque evita controles adicionales. Una vez que la tarjeta es registrada en la billetera digital del atacante, se omiten futuras autenticaciones gracias a la evasión inicial de MFA.

“Las oportunidades de monetización con este método son amplias: desde pagos sin contacto en puntos de venta físicos, hasta compras en línea o retiros en cajeros sin necesidad de tener la tarjeta física”, señalan los investigadores.

Se ha observado que los atacantes crean cuentas de comerciantes falsas en procesadores legítimos como Stripe, PayPal, HitPay y Flutterwave para facilitar sus operaciones.


El Ecosistema Criminal Evoluciona

Además de campañas de smishing, los grupos criminales han comenzado a vender dispositivos previamente configurados con múltiples tarjetas robadas, lo cual indica la existencia de redes criminales especializadas en la monetización de estas tarjetas.

En agosto de 2024, surgieron sitios falsos de comercio electrónico que ya no dependen de mensajes no solicitados, sino que captan usuarios activamente interesados en productos reales mediante anuncios en Meta, TikTok y Google.

La fase más reciente de estas campañas apunta al sector financiero global, con sitios diseñados para tomar el control de cuentas de corretaje, en lugar de robar tarjetas.


Este caso representa una alarmante evolución de las tácticas cibercriminales. Las organizaciones deben mantenerse actualizadas, reforzar sus sistemas de autenticación y educar a sus usuarios sobre los riesgos del smishing y el phishing móvil.


¿Tu organización está preparada para enfrentar estos ataques?
Contáctanos y fortalece tu ciberseguridad con soluciones avanzadas de observabilidad, software seguro y cumplimiento normativo.

Fuente: https://www.infosecurity-magazine.com/news/chinese-smishing-us-payment-cards