2021 fue el año del phishing por SMS y, desgraciadamente, en 2022 la cosa no ha amainado. Flubot fue el ejemplo más devastador de lo que los atacantes podían llegar a conseguir al hacerse pasar por compañías de mensajería: en meses consiguieron 60.000 teléfonos infectados, que contribuyeron, como veremos, a un daño mucho mayor.

Después de la mensajería, llegaron los SMS de entidades bancarias, supermercados y muchas otras variantes. Con todo ello, siempre surgía la misma pregunta: sabemos cómo nos atacan y por qué, pero ¿cómo tienen nuestros números?

Cómo se hacen con nuestros números de teléfono

No se puede dar una respuesta clara, pero toca volver a hablar de Flubot. En marzo de 2021 se estimaba que con este SMS de Fedex, DHL y otras mensajeras, los responsables lograron hacerse con 11 millones de números españoles, y es probable que desde entonces, más de un año después, la cifra subiera mucho. Es una base de datos de teléfonos muy grande (y con nombres en muchos casos) a la que poder empezar a atacar.

Y obtenerla para ellos fue tan sencillo como que las víctimas se instalaran las aplicaciones fraudulentas en Android y, sin saberlo, compartieran toda su lista de contactos, a la que además también se enviaba luego el SMS para que se lo instalaran y siguieran la cadena. Que controlar tal cantidad de teléfonos sea algo tan trivial para los atacantes, gracias al permiso de accesibilidad de Android, es algo …