{"id":162334,"date":"2025-10-23T03:00:07","date_gmt":"2025-10-23T10:00:07","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=162334"},"modified":"2025-10-24T13:22:46","modified_gmt":"2025-10-24T20:22:46","slug":"global-smishing-campaign","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/","title":{"rendered":"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global"},"content":{"rendered":"<h2><a id=\"post-162334-_3nf6nrpor0km\"><\/a>Resumen ejecutivo<\/h2>\n<p>Atribuimos una campa\u00f1a de <em>smishing<\/em> (phishing a trav\u00e9s de mensajes de texto) en curso, que utiliza notificaciones fraudulentas de infracciones de peajes y entregas de paquetes fallidas, a un grupo ampliamente conocido como la Tr\u00edada de <em>Smishing<\/em> (<em>Smishing Triad<\/em>). Nuestro an\u00e1lisis indica que esta campa\u00f1a es una amenaza significativamente m\u00e1s extensa y compleja de lo que se hab\u00eda informado anteriormente. Los atacantes han suplantado servicios internacionales en una amplia gama de sectores cr\u00edticos.<\/p>\n<p>Los atacantes han dirigido esta campa\u00f1a a residentes de EE. UU. desde abril de 2024. El actor de amenazas est\u00e1 evolucionando sus t\u00e1cticas al expandir su alcance a nivel global, mejorando las t\u00e1cticas de ingenier\u00eda social utilizadas en el <em>smishing<\/em> para la entrega.<\/p>\n<p>El actor de amenazas tambi\u00e9n est\u00e1 ampliando la gama de servicios que suplanta para incluir muchos servicios internacionales en sectores cr\u00edticos, tales como:<\/p>\n<ul>\n<li>Banca<\/li>\n<li>Plataformas de criptomonedas<\/li>\n<li>Plataformas de comercio electr\u00f3nico<\/li>\n<li>Salud<\/li>\n<li>Fuerzas de seguridad<\/li>\n<li>Redes sociales<\/li>\n<\/ul>\n<p>La campa\u00f1a est\u00e1 altamente descentralizada, carece de un punto \u00fanico de control y utiliza una gran cantidad de dominios y una infraestructura de <em>hosting<\/em> diversa. Esto es ventajoso para los atacantes, ya que procesar miles de dominios semanalmente dificulta la detecci\u00f3n.<\/p>\n<p>Utilizando nuestro marco de inteligencia, hemos identificado m\u00e1s de 194 000 dominios maliciosos vinculados a esta operaci\u00f3n desde el 1 de enero de 2024. Aunque estos dominios est\u00e1n registrados a trav\u00e9s de un registrador con sede en Hong Kong y utilizan servidores de nombres (nameservers) chinos, la infraestructura de ataque est\u00e1 alojada principalmente en servicios populares de nube de EE. UU.<\/p>\n<p>Esta campa\u00f1a utiliza mensajes SMS para ingenier\u00eda social con el fin de crear un sentido de urgencia e incitar a las v\u00edctimas a tomar medidas inmediatas. La escala global de la campa\u00f1a, su infraestructura compleja y sus p\u00e1ginas de <em>phishing<\/em> realistas sugieren fuertemente que est\u00e1 impulsada por una operaci\u00f3n grande y bien financiada de <em>phishing<\/em> como servicio (PhaaS). Esto representa una amenaza generalizada para individuos a nivel global. Estas p\u00e1ginas de <em>phishing<\/em> tienen como objetivo recopilar informaci\u00f3n sensible, como n\u00fameros de identificaci\u00f3n nacional (como los n\u00fameros de Seguro Social), direcciones particulares, detalles de pago y credenciales de inicio de sesi\u00f3n.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra esta actividad a trav\u00e9s de los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de respuesta a incidentes de Unit 42<\/a>.<\/p>\n<table style=\"width: 96.5875%; height: 43px;\">\n<thead>\n<tr style=\"height: 43px;\">\n<th style=\"width: 35.2432%; text-align: left; height: 43px;\"><strong>Temas relacionados de Unit 42<\/strong><\/th>\n<th style=\"width: 250.173%; text-align: left; height: 43px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/phishing-es-la\/\" target=\"_blank\" rel=\"noopener\"><strong>Phishing<\/strong><\/a><strong>, <\/strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/sms\/\" target=\"_blank\" rel=\"noopener\"><strong>SMS<\/strong><\/a><\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-162334-_8ea8muzgtovf\"><\/a>An\u00e1lisis t\u00e9cnico de la campa\u00f1a extendida de la Tr\u00edada de <em>Smishing<\/em><\/h2>\n<p>A principios de este a\u00f1o, publicamos oportunamente en redes sociales informaci\u00f3n de inteligencia de amenazas que reportaba nuestro descubrimiento de m\u00e1s de<a href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:ugcPost:7303805644812271616\/\" target=\"_blank\" rel=\"noopener\"> 10,000 dominios involucrados en estafas de <em>smishing<\/em><\/a>. Posteriormente, encontramos y<a href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:ugcPost:7321235269012078593\/\" target=\"_blank\" rel=\"noopener\"> bloqueamos m\u00e1s de 91,500 dominios involucrados<\/a> en la misma estafa. Desde la publicaci\u00f3n de esa inteligencia de amenazas, hemos continuado rastreando y analizando a los actores de amenazas y los dominios detr\u00e1s de estas estafas de <em>smishing<\/em>.<\/p>\n<p>El proveedor de seguridad<a href=\"https:\/\/www.resecurity.com\/blog\/article\/Smishing-Triad-Impersonates-Emirates-Post-Target-UAE-Citizens\" target=\"_blank\" rel=\"noopener\"> Resecurity atribuye estos ataques<\/a> a la<a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/smishing_triad\" target=\"_blank\" rel=\"noopener\"> Tr\u00edada de <em>Smishing<\/em><\/a>, informando que el grupo compart\u00eda kits de <em>phishing<\/em> en Telegram y otros servicios. Este hallazgo es<a href=\"https:\/\/www.silentpush.com\/blog\/smishing-triad\/\" target=\"_blank\" rel=\"noopener\"> corroborado por informes de seguimiento<\/a> de Silent Push. Sin embargo, nuestro an\u00e1lisis revela que el alcance de la campa\u00f1a es mucho m\u00e1s amplio y evoluciona m\u00e1s r\u00e1pido de lo que se conoc\u00eda anteriormente.<\/p>\n<p>Muchos indicadores sugieren que la campa\u00f1a est\u00e1 en constante evoluci\u00f3n.<a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/phishing-campaign-targeting-mobile-users-in-india-using-india-post-lures\" target=\"_blank\" rel=\"noopener\"> Un art\u00edculo de Fortinet<\/a> destac\u00f3 el hecho de que los actores de amenazas utilizaban funciones de correo electr\u00f3nico para SMS. Este art\u00edculo se\u00f1alaba que se pueden usar direcciones de correo electr\u00f3nico arbitrarias para enviar mensajes a trav\u00e9s de iMessage. Sin embargo, hemos observado que los mensajes de <em>smishing<\/em> se env\u00edan ahora desde n\u00fameros de tel\u00e9fono. Muchos de estos mensajes se reciben desde n\u00fameros de tel\u00e9fono que comienzan con el c\u00f3digo de pa\u00eds internacional de Filipinas (+63). Sin embargo, tambi\u00e9n ha habido un n\u00famero creciente de mensajes en esta campa\u00f1a recibidos desde n\u00fameros de tel\u00e9fono de EE. UU. (+1).<\/p>\n<p>Rastrear todos los dominios en esta campa\u00f1a es un desaf\u00edo debido a su naturaleza descentralizada. Los dominios de ataque son de corta duraci\u00f3n y se renuevan constantemente, registr\u00e1ndose miles a diario. La r\u00e1pida evoluci\u00f3n de la campa\u00f1a destaca que rastrear los dominios ra\u00edz usando solo patrones l\u00e9xicos no es suficiente.<\/p>\n<p>Hemos desarrollado un marco de inteligencia multifac\u00e9tico para rastrear esta campa\u00f1a. Este sintetiza datos de las siguientes fuentes:<\/p>\n<ul>\n<li>M\u00e9tricas de reputaci\u00f3n de WHOIS y DNS pasivo (pDNS)<\/li>\n<li>Patrones de dominio en evoluci\u00f3n<\/li>\n<li>Agrupamiento visual (<em>clustering<\/em>) de capturas de pantalla<\/li>\n<li>An\u00e1lisis de infraestructura basado en grafos<\/li>\n<\/ul>\n<p>Utilizando nuestro marco de inteligencia multifac\u00e9tico, encontramos un total de 194 345 nombres de dominio completos (<a href=\"https:\/\/www.cloudns.net\/blog\/fqdn-fully-qualified-domain-name\/\" target=\"_blank\" rel=\"noopener\">FQDN<\/a>) en 136 933 dominios ra\u00edz asociados con esta campa\u00f1a. Estos dominios ra\u00edz se registraron a partir del 1 de enero de 2024.<\/p>\n<p>La mayor\u00eda de estos dominios est\u00e1n registrados a trav\u00e9s de Dominet (HK) Limited, un registrador con sede en Hong Kong, y utilizan <em>nameservers<\/em> chinos. Aunque el registro de dominios y la infraestructura de DNS se originan en China, la infraestructura de ataque (las direcciones IP de <em>hosting<\/em>) se concentra en EE. UU., particularmente dentro de servicios de nube populares.<\/p>\n<p>Encontramos que los dominios en esta campa\u00f1a suplantan servicios globales en muchos sectores, incluyendo:<\/p>\n<ul>\n<li>Servicios cr\u00edticos: Banca, salud y fuerzas de seguridad (p. ej., compa\u00f1\u00edas multinacionales de servicios financieros e inversi\u00f3n, fuerzas policiales de ciudades en Medio Oriente)<\/li>\n<li>Servicios de uso extendido: Comercio electr\u00f3nico, redes sociales, juegos en l\u00ednea e intercambios de criptomonedas (p. ej., varios mercados de comercio electr\u00f3nico e intercambios de criptomonedas basados en Rusia)<\/li>\n<li>Servicios reportados anteriormente: Peajes y servicios globales de correo y paqueter\u00eda estatales que se extienden m\u00e1s all\u00e1 de EE. UU. (p. ej., Israel, Canad\u00e1, Francia, Alemania, Irlanda, Australia, Argentina)<\/li>\n<\/ul>\n<p>Los atacantes elaboran mensajes SMS para entregar estas URLs. Estos est\u00e1n altamente personalizados para las v\u00edctimas con el fin de obligarlas a tomar medidas inmediatas. El uso de t\u00e9cnicas de ingenier\u00eda social crea un sentido de urgencia. Al emplear informaci\u00f3n personal espec\u00edfica e incorporar jerga t\u00e9cnica o legal, pueden parecer m\u00e1s leg\u00edtimos. Estos elementos, combinados con el alcance de los servicios imitados, sugieren que una gran operaci\u00f3n de PhaaS est\u00e1 detr\u00e1s de esta campa\u00f1a.<\/p>\n<h2><a id=\"post-162334-_rs0c5ngb9sg7\"><\/a>Ecosistema clandestino de <em>phishing<\/em> como servicio (PhaaS)<\/h2>\n<p>En esta secci\u00f3n, discutimos el ecosistema clandestino de PhaaS e investigamos el canal de Telegram de la Tr\u00edada de <em>Smishing<\/em>. Durante los \u00faltimos seis meses, el canal ha evolucionado de ser un mercado dedicado a kits de <em>phishing<\/em> a convertirse en una comunidad muy activa que re\u00fane a diversos actores de amenazas dentro del ecosistema PhaaS.<\/p>\n<p>La Figura 1 muestra registros de chat de diferentes participantes dentro del canal. La mayor\u00eda de las publicaciones anuncian diversos servicios clandestinos, como registro de dominios, venta de datos y entrega de mensajes. Destacando la intensa competencia dentro de este ecosistema, m\u00faltiples actores de amenazas compiten por ofrecer los mismos servicios, particularmente la entrega de Servicios de Comunicaci\u00f3n Enriquecida (RCS) y Mensajer\u00eda Instant\u00e1nea (MI).<\/p>\n<figure id=\"attachment_162335\" aria-describedby=\"caption-attachment-162335\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162335 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-410051-162334-1.png\" alt=\"\" width=\"900\" height=\"675\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-410051-162334-1.png 960w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-410051-162334-1-587x440.png 587w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-410051-162334-1-933x700.png 933w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-410051-162334-1-768x576.png 768w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-162335\" class=\"wp-caption-text\">Figura 1. Historial de chat de Telegram de diferentes actores de amenazas en el ecosistema PhaaS.<\/figcaption><\/figure>\n<p>La Figura 2 ilustra a continuaci\u00f3n los diferentes roles activos en el canal de Telegram de la Tr\u00edada de <em>Smishing<\/em> y sus interacciones.<\/p>\n<figure id=\"attachment_162457\" aria-describedby=\"caption-attachment-162457\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162457 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/Es-LA_Phaas-eco-436x440.png\" alt=\"\" width=\"900\" height=\"909\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/Es-LA_Phaas-eco-436x440.png 436w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/Es-LA_Phaas-eco-693x700.png 693w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/Es-LA_Phaas-eco-768x776.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/Es-LA_Phaas-eco-1520x1536.png 1520w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/Es-LA_Phaas-eco-2027x2048.png 2027w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-162457\" class=\"wp-caption-text\">Figura 2. El ecosistema PhaaS de la Tr\u00edada de Smishing.<\/figcaption><\/figure>\n<p>Los actores de amenazas se especializan en diferentes etapas de la cadena de suministro del <em>smishing<\/em>, lo que les permite lanzar ataques de manera m\u00e1s eficiente y escalable:<\/p>\n<ul>\n<li><em>Upstream<\/em> (Etapa inicial)\n<ul>\n<li>Br\u00f3ker de datos: Vende n\u00fameros de tel\u00e9fono objetivo<\/li>\n<li>Vendedor de dominios: Registra dominios desechables para alojar sitios web de <em>phishing<\/em><\/li>\n<li>Proveedor de <em>hosting<\/em>: Proporciona servidores para ejecutar los <em>backends<\/em> de <em>phishing<\/em><\/li>\n<\/ul>\n<\/li>\n<li><em>Midstream<\/em> (Etapa intermedia)\n<ul>\n<li>Desarrollador de kits de <em>phishing<\/em>: Construye sitios web de <em>phishing<\/em> (<em>frontend<\/em> y <em>backend<\/em>) y mantiene la plataforma PhaaS, incluyendo <em>dashboards<\/em> para recolectar y gestionar credenciales robadas<\/li>\n<\/ul>\n<\/li>\n<li><em>Downstream<\/em> (Etapa final)\n<ul>\n<li><em>Spammer<\/em> de SMS\/RCS\/MI: Entrega mensajes de <em>phishing<\/em> a escala para dirigir a las v\u00edctimas a los sitios web de <em>phishing<\/em><\/li>\n<\/ul>\n<\/li>\n<li>Soporte\n<ul>\n<li>Esc\u00e1ner de actividad (<em>Liveness scanner<\/em>): Verifica qu\u00e9 n\u00fameros de tel\u00e9fono objetivo son v\u00e1lidos y est\u00e1n activos<\/li>\n<li>Esc\u00e1ner de listas de bloqueo (<em>Blocklist scanner<\/em>): Comprueba los dominios de <em>phishing<\/em> contra listas de bloqueo para activar la rotaci\u00f3n de activos<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2><a id=\"post-162334-_z37p3i2j2hbu\"><\/a>Dominios involucrados en la campa\u00f1a<\/h2>\n<p>La mayor\u00eda de los dominios ra\u00edz involucrados en esta campa\u00f1a se crearon con una serie de cadenas de texto separadas por guiones, seguidas de un dominio de nivel superior (TLD) (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">[string1]-[string2].[TLD]<\/span>). En esta secci\u00f3n, describimos la parte anterior al primer guion como un prefijo. En conjunto con un subdominio conocido, estos prefijos podr\u00edan enga\u00f1ar a las v\u00edctimas. Por ejemplo, una inspecci\u00f3n casual del dominio <span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-addpayment[.]info<\/span> podr\u00eda enga\u00f1ar a las personas haci\u00e9ndoles pensar que est\u00e1n navegando a <span style=\"font-family: 'courier new', courier, monospace;\">irs[.]gov.<\/span><\/p>\n<p>La Figura 3 muestra los prefijos m\u00e1s populares de los nombres de dominio utilizados en los 136 933 dominios ra\u00edz que encontramos en esta campa\u00f1a.<\/p>\n<figure id=\"attachment_162357\" aria-describedby=\"caption-attachment-162357\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162357 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-6.png\" alt=\"Chart\" width=\"1000\" height=\"673\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-6-654x440.png 654w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-6-1040x700.png 1040w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-6-768x517.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-6-1536x1034.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162357\" class=\"wp-caption-text\">Figura 3. Los 10 prefijos m\u00e1s populares de los dominios ra\u00edz encontrados en esta campa\u00f1a.<\/figcaption><\/figure>\n<p>Si bien estos dominios est\u00e1n registrados a trav\u00e9s de varios registradores, una mayor\u00eda significativa (68.06 % o 93 197) de los dominios ra\u00edz est\u00e1n registrados bajo Dominet (HK) Limited, un registrador con sede en Hong Kong. Los siguientes registradores m\u00e1s populares son Namesilo con un 11.85 % (16 227) y Gname con un 7.94 % (10 873) de los dominios ra\u00edz.<\/p>\n<h3><a id=\"post-162334-_vrtkw4xcauk2\"><\/a>Tendencias de registro de dominios<\/h3>\n<p>Las fechas de creaci\u00f3n de WHOIS mostradas en la Figura 4 revelan un cambio interesante. Hemos seleccionado los 10 prefijos de dominio m\u00e1s populares en esta campa\u00f1a. Los dominios con el prefijo com- fueron los m\u00e1s com\u00fanmente registrados en esta campa\u00f1a hasta mayo de 2025. Sin embargo, en los \u00faltimos tres meses, observamos un aumento significativo en el registro de dominios \u201cgov- en relaci\u00f3n con los dominios \u201ccom-\u201d. Esto indica que la campa\u00f1a est\u00e1 evolucionando para ajustarse a los tipos de servicios que suplanta.<\/p>\n<figure id=\"attachment_162368\" aria-describedby=\"caption-attachment-162368\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162368 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-420300-162334-4.png\" alt=\"\" width=\"1000\" height=\"422\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-420300-162334-4.png 1245w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-420300-162334-4-786x331.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-420300-162334-4-768x324.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162368\" class=\"wp-caption-text\">Figura 4. Fechas de creaci\u00f3n de WHOIS para dominios pertenecientes a esta campa\u00f1a.<\/figcaption><\/figure>\n<h3><a id=\"post-162334-_szwfrfm93v04\"><\/a>Ciclo de vida de los dominios<\/h3>\n<p>Tambi\u00e9n evaluamos el ciclo de vida de los dominios utilizados en esta campa\u00f1a utilizando datos de pDNS. El ciclo de vida de un dominio es la duraci\u00f3n entre sus marcas de tiempo m\u00e1s tempranas (\"visto por primera vez\") y m\u00e1s recientes (\"visto por \u00faltima vez\").<\/p>\n<p>Como se detalla en la Figura 5, 39 964 (29.19 %) dominios estuvieron activos durante dos d\u00edas o menos. Vimos que el 71.3 % de estos dominios estuvieron activos por menos de una semana y el 82.6 % tuvo un ciclo de vida de dos semanas o menos.<\/p>\n<p>Menos del 6 % de los dominios permanecen activos m\u00e1s all\u00e1 de los primeros tres meses de su registro. Esta r\u00e1pida rotaci\u00f3n (churn) demuestra claramente que la estrategia de la campa\u00f1a se basa en un ciclo continuo de dominios reci\u00e9n registrados para evadir la detecci\u00f3n.<\/p>\n<figure id=\"attachment_162379\" aria-describedby=\"caption-attachment-162379\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162379 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-422578-162334-5.png\" alt=\"\" width=\"1000\" height=\"500\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-422578-162334-5.png 1200w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-422578-162334-5-786x393.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-422578-162334-5-768x384.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162379\" class=\"wp-caption-text\">Figura 5. Distribuci\u00f3n del ciclo de vida de los dominios seg\u00fan datos de pDNS.<\/figcaption><\/figure>\n<h2><a id=\"post-162334-_71ojf0o779qi\"><\/a>Infraestructura de red<\/h2>\n<p>Como se mencion\u00f3 anteriormente, los dominios involucrados en estas campa\u00f1as est\u00e1n altamente descentralizados. En esta secci\u00f3n, investigamos la infraestructura de red de la campa\u00f1a.<\/p>\n<h3><a id=\"post-162334-_41k1aml81tzx\"><\/a>Infraestructura de DNS<\/h3>\n<p>Los 194 345 FQDN en esta campa\u00f1a resuelven a un conjunto grande y diverso de aproximadamente 43 494 direcciones IP \u00fanicas. La campa\u00f1a utiliza una mayor\u00eda de direcciones IP de EE. UU. alojadas en el Sistema Aut\u00f3nomo AS13335, particularmente dentro de la subred <span style=\"font-family: 'courier new', courier, monospace;\">104.21.0[.]0\/16<\/span>.<\/p>\n<p>En contraste, la infraestructura de <em>nameservers<\/em> (servidores de nombres) est\u00e1 m\u00e1s concentrada, con solo 837 dominios ra\u00edz de <em>nameservers<\/em> \u00fanicos. Una gran mayor\u00eda de los FQDN utiliza solo dos proveedores: AliDNS (45.6 %) y Cloudflare (34.6 %). Esta centralizaci\u00f3n sugiere que, si bien el <em>hosting<\/em> web de la campa\u00f1a est\u00e1 ampliamente distribuido, su gesti\u00f3n de DNS est\u00e1 consolidada bajo unos pocos servicios clave.<\/p>\n<h3><a id=\"post-162334-_jpqghwbt7w50\"><\/a>Gr\u00e1fico de la infraestructura de la campa\u00f1a<\/h3>\n<p>En la Figura 6, presentamos un gr\u00e1fico de ejemplo que describe esta campa\u00f1a. Vemos que hay 90 dominios ra\u00edz diferentes que apuntan a un conjunto de direcciones IP en la subred 104.21.0[.]0\/16 perteneciente a AS13335. Existen varios de estos cl\u00fasteres localizados para cada direcci\u00f3n IP y <em>nameserver<\/em>.<\/p>\n<p><figure id=\"attachment_162390\" aria-describedby=\"caption-attachment-162390\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162390 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-424794-162334-6.png\" alt=\"\" width=\"1000\" height=\"1070\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-424794-162334-6.png 1914w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-424794-162334-6-411x440.png 411w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-424794-162334-6-654x700.png 654w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-424794-162334-6-768x822.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-424794-162334-6-1436x1536.png 1436w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162390\" class=\"wp-caption-text\">Figura 6. Gr\u00e1fico de la campa\u00f1a que muestra 90 dominios ra\u00edz diferentes apuntando a un conjunto de direcciones IP dentro de la subred <span style=\"font-family: 'courier new', courier, monospace;\">104.21.0[.]0\/16<\/span>.<\/figcaption><\/figure>El Servicio Postal de EE. UU. (USPS) es el servicio individual m\u00e1s suplantado, con 28 045 FQDN. La categor\u00eda m\u00e1s amplia de servicios de peaje es la categor\u00eda m\u00e1s suplantada en esta campa\u00f1a, con casi 90 000 FQDN dedicados al <em>phishing<\/em>.<\/p>\n<p>Presentamos ejemplos de dominios que se hacen pasar por diferentes tipos de servicios en la secci\u00f3n Marcas y servicios suplantados.<\/p>\n<h3><a id=\"post-162334-_5ohmnw8fh7cp\"><\/a>Geolocalizaci\u00f3n de la infraestructura de los dominios de ataque<\/h3>\n<p>Los dominios de ataque est\u00e1n alojados en diferentes direcciones IP geolocalizadas en varios pa\u00edses. Para identificar los dominios que generan m\u00e1s tr\u00e1fico, analizamos la distribuci\u00f3n de consultas de pDNS para encontrar el volumen de consultas de DNS para todos los dominios en la campa\u00f1a.<\/p>\n<p>Agregamos el n\u00famero de respuestas de DNS por dominio y geolocalizamos las direcciones IP en estas respuestas. Las consultas a dominios ubicados en EE. UU. representan m\u00e1s de la mitad del volumen de consultas, como se muestra en la Figura 7. La infraestructura de ataque para los dominios que generan el mayor volumen de tr\u00e1fico se ubic\u00f3 en EE. UU., seguida de China y Singapur.<\/p>\n<figure id=\"attachment_162401\" aria-describedby=\"caption-attachment-162401\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162401 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-7.png\" alt=\"Chart\" width=\"1000\" height=\"619\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-7.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-7-711x440.png 711w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-7-1131x700.png 1131w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-7-768x475.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-7-1536x950.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162401\" class=\"wp-caption-text\">Figura 7. Distribuci\u00f3n de consultas de DNS a dominios de ataque por geolocalizaci\u00f3n de las direcciones IP.<\/figcaption><\/figure>\n<h2><a id=\"post-162334-_bvbjgu2780gu\"><\/a>Marcas y servicios suplantados<\/h2>\n<p>Una gran parte de la infraestructura de ataque que vimos ten\u00eda su base en EE. UU., y los servicios suplantados reflejaban esto. Sin embargo, tambi\u00e9n identificamos atacantes que suplantaban servicios en otros pa\u00edses.<\/p>\n<h3><a id=\"post-162334-_hgrokoad9ce8\"><\/a>Gran enfoque en EE. UU.<\/h3>\n<p>La campa\u00f1a se dirige a individuos. Env\u00eda mensajes que se hacen pasar por provenientes de diversas organizaciones comerciales, as\u00ed como de oficinas gubernamentales estatales y de EE. UU., tales como:<\/p>\n<ul>\n<li>Servicios comerciales y estatales de correo y paqueter\u00eda<\/li>\n<li>Agencias estatales de veh\u00edculos y licencias<\/li>\n<li>Servicios o agencias de impuestos estatales y federales<\/li>\n<\/ul>\n<p>Tambi\u00e9n encontramos menciones de nombres de estados de EE. UU. y sus abreviaturas de dos letras en los FQDN.<\/p>\n<h3><a id=\"post-162334-_kayi02ep6hk1\"><\/a>Marcas y servicios globales<\/h3>\n<ul>\n<li>Servicios cr\u00edticos: Esta campa\u00f1a a menudo incluye mensajes que imitan a aquellos que podr\u00edan provenir de servicios cr\u00edticos como correo, servicios de pago de peajes, fuerzas de seguridad y banca en varios pa\u00edses:\n<ul>\n<li>EE. UU. (banca, correo y paqueter\u00eda, peajes)<\/li>\n<li>Alemania (servicios de correo y paqueter\u00eda, bancos de inversi\u00f3n y cajas de ahorros)<\/li>\n<li>Emiratos \u00c1rabes Unidos (fuerzas policiales pertenecientes a m\u00faltiples ciudades)<\/li>\n<li>Reino Unido (servicios estatales)<\/li>\n<li>Malasia, M\u00e9xico (bancos)<\/li>\n<li>Argentina, Australia, Canad\u00e1, Francia, Irlanda, Israel, Rusia (peajes electr\u00f3nicos, as\u00ed como servicios de correo y paqueter\u00eda).<\/li>\n<\/ul>\n<\/li>\n<li>Servicios generales: La campa\u00f1a implica la suplantaci\u00f3n de mensajes de muchos servicios generales como:\n<ul>\n<li>Aplicaciones de viaje compartido (<em>carpooling<\/em>)<\/li>\n<li>Plataformas en l\u00ednea para servicios de viviendas compartidas y hospitalidad<\/li>\n<li>Sitios populares de redes sociales<\/li>\n<\/ul>\n<\/li>\n<li><em>Typosquatting<\/em>: Hemos observado varios FQDN utilizados en esta campa\u00f1a que practican <em>typosquatting<\/em> de servicios populares, incluidas aplicaciones de tecnolog\u00eda financiera y servicios de nube personal.<\/li>\n<li>Plataformas de comercio electr\u00f3nico y pago en l\u00ednea: Esta campa\u00f1a tambi\u00e9n suplanta a varias grandes plataformas de comercio electr\u00f3nico en:\n<ul>\n<li>Rusia<\/li>\n<li>Polonia<\/li>\n<li>Lituania<\/li>\n<li>Otros pa\u00edses a nivel internacional<\/li>\n<\/ul>\n<\/li>\n<li>Intercambios de criptomonedas: Descubrimos que la campa\u00f1a tambi\u00e9n suplanta a intercambios de criptomonedas, billeteras (<em>wallets<\/em>) y plataformas Web3.<\/li>\n<li>Relacionado con juegos: Hemos encontrado FQDN utilizados en esta campa\u00f1a relacionados con juegos en l\u00ednea y mercados falsos de <em>skins<\/em> (apariencias) para juegos.<\/li>\n<\/ul>\n<h2><a id=\"post-162334-_urrqaf1lnhai\"><\/a>\u00bfQu\u00e9 contenido se est\u00e1 alojando?<\/h2>\n<h3><a id=\"post-162334-_uea9kyvz26tm\"><\/a><em>Phishing<\/em> que suplanta a bancos y servicios populares<\/h3>\n<p>La <em>landing page<\/em> (p\u00e1gina de destino) m\u00e1s com\u00fan que observamos conten\u00eda contenido de <em>phishing<\/em> que suplantaba al servicio indicado por el FQDN. La Figura 8 presenta ejemplos de p\u00e1ginas de <em>phishing<\/em> dise\u00f1adas para asemejarse al inicio de sesi\u00f3n y la verificaci\u00f3n de identidad de una compa\u00f1\u00eda de electr\u00f3nica de consumo (5078 FQDN) y una importante firma de servicios financieros (769 FQDN). Estas est\u00e1n potencialmente dirigidas a extraer la informaci\u00f3n de inicio de sesi\u00f3n de las v\u00edctimas y otra informaci\u00f3n sensible, como los n\u00fameros de seguro social.<\/p>\n<figure id=\"attachment_162412\" aria-describedby=\"caption-attachment-162412\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162412 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-434432-162334-8.jpeg\" alt=\"\" width=\"1000\" height=\"535\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-434432-162334-8.jpeg 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-434432-162334-8-786x421.jpeg 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-434432-162334-8-1308x700.jpeg 1308w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-434432-162334-8-768x411.jpeg 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-434432-162334-8-1536x822.jpeg 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162412\" class=\"wp-caption-text\">Figura 8. Landing pages de dominios que suplantan a proveedores de servicios bancarios y populares.<\/figcaption><\/figure>\n<h3><a id=\"post-162334-_hryysyq1178h\"><\/a><em>Phishing<\/em> que suplanta a agencias gubernamentales<\/h3>\n<p>Hemos observado p\u00e1ginas de <em>phishing<\/em> que suplantan a servicios gubernamentales como el IRS y departamentos estatales de veh\u00edculos de EE. UU. y otras agencias relacionadas con el transporte.<\/p>\n<p>Estas <em>landing pages<\/em> a menudo mencionan peajes no pagados y otros cargos por servicios. Est\u00e1n potencialmente dirigidas a extraer credenciales de inicio de sesi\u00f3n, detalles personales e informaci\u00f3n de pago.<\/p>\n<p>La Figura 9 muestra ejemplos de <em>landing pages<\/em> de dominios que suplantan a servicios de peaje electr\u00f3nico espec\u00edficos de estados. Utilizan los nombres de los estados y sus servicios en los nombres de subdominio y hacen uso de logotipos y emblemas estatales dentro de las p\u00e1ginas de <em>phishing<\/em>.<\/p>\n<figure id=\"attachment_162423\" aria-describedby=\"caption-attachment-162423\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162423 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-437077-162334-9.jpeg\" alt=\"\" width=\"1000\" height=\"537\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-437077-162334-9.jpeg 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-437077-162334-9-786x422.jpeg 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-437077-162334-9-1304x700.jpeg 1304w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-437077-162334-9-768x412.jpeg 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-437077-162334-9-1536x824.jpeg 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162423\" class=\"wp-caption-text\">Figura 9. Landing pages de dominios que suplantan a servicios de peaje electr\u00f3nico espec\u00edficos de estados.<\/figcaption><\/figure>\n<p>La Figura 10 muestra ejemplos de <em>landing pages<\/em> que suplantan a agencias gubernamentales de EE. UU. como el IRS (128 FQDN). La p\u00e1gina contiene una p\u00e1gina de CAPTCHA falsa dise\u00f1ada para manipular a los usuarios para que ejecuten <em>scripts<\/em> maliciosos en su m\u00e1quina.<\/p>\n<figure id=\"attachment_162434\" aria-describedby=\"caption-attachment-162434\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162434 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-439843-162334-10.png\" alt=\"\" width=\"1000\" height=\"387\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-439843-162334-10.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-439843-162334-10-786x304.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-439843-162334-10-1810x700.png 1810w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-439843-162334-10-768x297.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-439843-162334-10-1536x594.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162434\" class=\"wp-caption-text\">Figura 10. Landing pages de dominios que suplantan a agencias gubernamentales.<\/figcaption><\/figure>\n<h3><a id=\"post-162334-_c4dj6r6eg3y7\"><\/a>Entregas fallidas y cargos de aduana falsos<\/h3>\n<p>La Figura 11 muestra varios ejemplos de <em>landing pages<\/em> que contienen avisos falsos de falla en la entrega, infracci\u00f3n de peaje, cargos de aduana internacionales asociados con servicios populares de correo y paqueter\u00eda, y servicios de peaje. Estos est\u00e1n potencialmente dirigidos a extraer informaci\u00f3n personal de las v\u00edctimas, como direcciones particulares, detalles de contacto e informaci\u00f3n de pago.<\/p>\n<figure id=\"attachment_162445\" aria-describedby=\"caption-attachment-162445\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162445 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-443079-162334-11.jpeg\" alt=\"\" width=\"1000\" height=\"1039\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-443079-162334-11.jpeg 1971w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-443079-162334-11-423x440.jpeg 423w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-443079-162334-11-674x700.jpeg 674w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-443079-162334-11-768x798.jpeg 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-443079-162334-11-1478x1536.jpeg 1478w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162445\" class=\"wp-caption-text\">Figura 11. Landing pages que muestran entregas fallidas y cargos de aduana falsos.<\/figcaption><\/figure>\n<h2><a id=\"post-162334-_hk4r2gwolv9h\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Hemos descubierto que la campa\u00f1a de <em>smishing<\/em> que suplanta a los servicios de peaje de EE. UU. no es un hecho aislado. Se trata, en cambio, de una campa\u00f1a a gran escala con alcance global que suplanta a numerosos servicios en diferentes sectores. La amenaza est\u00e1 altamente descentralizada. Los atacantes registran y rotan miles de dominios a diario.<\/p>\n<p>Para rastrear esta actividad en r\u00e1pida evoluci\u00f3n, desarrollamos un marco de inteligencia multifac\u00e9tico que sintetiza datos de registros WHOIS, pDNS, patrones de dominio en evoluci\u00f3n, agrupamiento visual (<em>clustering<\/em>) de <em>landing pages<\/em> y an\u00e1lisis de infraestructura basado en grafos.<\/p>\n<p>Aconsejamos a las personas que ejerzan vigilancia y precauci\u00f3n. Las personas deben tratar con sospecha cualquier mensaje no solicitado de remitentes desconocidos. Recomendamos que las personas verifiquen cualquier solicitud que exija una acci\u00f3n urgente utilizando el sitio web o la aplicaci\u00f3n oficial del proveedor de servicios. Esto debe hacerse sin clicar en ning\u00fan enlace ni llamar a ning\u00fan n\u00famero de tel\u00e9fono incluido en el mensaje sospechoso.<\/p>\n<h3><a id=\"post-162334-_9nxexrxdnpeo\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra las amenazas discutidas anteriormente a trav\u00e9s de los siguientes productos:<\/p>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifican dominios y URL conocidos asociados con esta actividad como maliciosos.<\/p>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de respuesta a incidentes de Unit 42<\/a> o llame a:<\/p>\n<ul>\n<li>Norteam\u00e9rica: Gratuito: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Medio Oriente: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos hallazgos con nuestros colegas miembros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y para desarticular sistem\u00e1ticamente a los actores cibern\u00e9ticos maliciosos. Obtenga m\u00e1s informaci\u00f3n sobre la<a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-162334-_no4865fhzkec\"><\/a>Indicadores de compromiso (IoC)<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">icloud.com-remove-device[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">flde-lity.com-lg[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">michigan.gov-etczhh[.]cc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">utah.gov-etcfr[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-tax[.]cfd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.org.gov-tax[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">anpost.com-pay[.]online<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">kveesh6.il-363[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dhl.de-yiore[.]store<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">usps.com-posewxts[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-etcha[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">usps.com-isjjz[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">flde-lity.com-jw[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-tollbiler[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.com-pvbfd[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-statementzz[.]world<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-emea[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pikepass.com-chargedae[.]world<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-etcoz[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.com-kien[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.com-xxai[.]vip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sunpass.com-hbg[.]vip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">usps.com-hzasr[.]bid<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.gov-tosz[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">michigan.gov-imky[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.org-yga[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.org-qac[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ezpass.org-pvwh[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ezpassnj.gov-mhmt[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.gov-hzwy[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-addpayment[.]info<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-mo[.]net<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">israeipost.co-ykk[.]vip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">canpost.id-89b98[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">anpost.id-39732[.]info<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-162334-_us95g3tfcel\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.ic3.gov\/PSA\/2024\/PSA240412\" target=\"_blank\" rel=\"noopener\">Internet Crime Complaint Center (IC3) | Smishing Scam Regarding Debt for Road Toll Services<\/a> \u2013 Anuncio de servicio p\u00fablico del FBI, n\u00famero de alerta: I-041224-PSA<\/li>\n<li><a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-03-06-IOCs-for-smishing-activity.txt\" target=\"_blank\" rel=\"noopener\">Over 10k Domains Registered For Smishing Impersonating Toll And Package Delivery Services<\/a> \u2013 Inteligencia de amenazas oportuna de Unit 42, GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-04-23-IOCs-for-smishing-activity-update.txt\" target=\"_blank\" rel=\"noopener\">Smishing Activity Update<\/a> \u2013 Inteligencia de amenazas oportuna de Unit 42, GitHub<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/smishing_triad\" target=\"_blank\" rel=\"noopener\">Smishing Triad (Threat Actor)<\/a> \u2013 Malpedia<\/li>\n<li><a href=\"https:\/\/blog.talosintelligence.com\/unraveling-the-us-toll-road-smishing-scams\/\" target=\"_blank\" rel=\"noopener\">Unraveling the U.S. toll road smishing scams<\/a> \u2013 Blog, Cisco Talos<\/li>\n<li><a href=\"https:\/\/www.silentpush.com\/blog\/smishing-triad\/\" target=\"_blank\" rel=\"noopener\">Smishing Triad: Chinese eCrime Group Targets 121+ Countries, Intros New Banking Phishing Kit<\/a> \u2013 Silent Push<\/li>\n<li><a href=\"https:\/\/www.fox9.com\/news\/scam-texts-mn-agencies-increasing-june-2025\" target=\"_blank\" rel=\"noopener\">DMV scam texts target people with bogus ticket warnings: What you should do<\/a> \u2013 FOX 9 KMSP<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La actividad global de smishing rastreada por Unit 42 incluye la suplantaci\u00f3n de identidad de muchos servicios cr\u00edticos. Su ecosistema \u00fanico permite a los atacantes escalar r\u00e1pidamente.<\/p>\n","protected":false},"author":321,"featured_media":162456,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8793],"tags":[9242,9710,8883],"product_categories":[8922,8924,8921],"coauthors":[8366,1434,2645,8582,3854,8544],"class_list":["post-162334","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-malware-es-la","tag-phishing-es-la","tag-smishing-es-la","tag-social-engineering-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-cloud-delivered-security-services-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global<\/title>\n<meta name=\"description\" content=\"La actividad global de smishing rastreada por Unit 42 incluye la suplantaci\u00f3n de identidad de muchos servicios cr\u00edticos. Su ecosistema \u00fanico permite a los atacantes escalar r\u00e1pidamente.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global\" \/>\n<meta property=\"og:description\" content=\"La actividad global de smishing rastreada por Unit 42 incluye la suplantaci\u00f3n de identidad de muchos servicios cr\u00edticos. Su ecosistema \u00fanico permite a los atacantes escalar r\u00e1pidamente.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-23T10:00:07+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-24T20:22:46+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, Moe Ghasemisharif\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global","description":"La actividad global de smishing rastreada por Unit 42 incluye la suplantaci\u00f3n de identidad de muchos servicios cr\u00edticos. Su ecosistema \u00fanico permite a los atacantes escalar r\u00e1pidamente.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/","og_locale":"es_LA","og_type":"article","og_title":"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global","og_description":"La actividad global de smishing rastreada por Unit 42 incluye la suplantaci\u00f3n de identidad de muchos servicios cr\u00edticos. Su ecosistema \u00fanico permite a los atacantes escalar r\u00e1pidamente.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/","og_site_name":"Unit 42","article_published_time":"2025-10-23T10:00:07+00:00","article_modified_time":"2025-10-24T20:22:46+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, Moe Ghasemisharif","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/"},"author":{"name":"Zhanhao Chen","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/8e5c042f619e2a696954ed80ac057ac5"},"headline":"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global","datePublished":"2025-10-23T10:00:07+00:00","dateModified":"2025-10-24T20:22:46+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/"},"wordCount":3775,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","keywords":["phishing","smishing","social engineering"],"articleSection":["Investigaci\u00f3n de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/","name":"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","datePublished":"2025-10-23T10:00:07+00:00","dateModified":"2025-10-24T20:22:46+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/8e5c042f619e2a696954ed80ac057ac5"},"description":"La actividad global de smishing rastreada por Unit 42 incluye la suplantaci\u00f3n de identidad de muchos servicios cr\u00edticos. Su ecosistema \u00fanico permite a los atacantes escalar r\u00e1pidamente.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Graphic representation of BOLA vulnerabilities. A smartphone displaying graphics of advanced digital technology and data analysis with vibrant red and blue lights, featuring a central icon labeled that looks like an envelope."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/global-smishing-campaign\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"El diluvio de smishing: Campa\u00f1a basada en China inunda los mensajes de texto a nivel global"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/8e5c042f619e2a696954ed80ac057ac5","name":"Zhanhao Chen","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Zhanhao Chen"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/zhachenpaloaltonetworks-com\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/162334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/321"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=162334"}],"version-history":[{"count":3,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/162334\/revisions"}],"predecessor-version":[{"id":163014,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/162334\/revisions\/163014"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/162456"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=162334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=162334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=162334"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=162334"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=162334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}