Grant Smith, un investigador de ciberseguridad, nunca imaginó que su vida profesional y personal se entrelazarían de manera tan directa hasta que su esposa cayó un ciberataque, por lo que tuvo que sacar todos sus conocimientos técnicos para encontrar a los culpables y llevarlos ante las autoridades.
El tipo de ataque que sufrió su pareja se le conoce como smishing, una estafa que utiliza mensajes de texto fraudulentos para engañar a las personas y obtener su información personal y financiera, que se ha multiplicado en los últimos años, afectando a miles de personas en todo el mundo.
La historia del hacker que descubrió a otros hackers
Todo comenzó con un SMS aparentemente inocente que llegó al teléfono de la esposa de Smith. El mensaje, que afirmaba ser del Servicio Postal de los Estados Unidos (USPS), solicitaba más detalles para la entrega de un paquete.
Sin sospechar nada, la esposa ingresó su número de tarjeta de crédito en el sitio web enlazado, el cual resultó ser una plataforma fraudulenta diseñada para recolectar información confidencial. Fue entonces cuando Smith decidió que debía hacer algo al respecto.
Determinado a encontrar a los responsables, el experto comenzó a investigar el origen del mensaje. Rápidamente, descubrió que no se trataba de un simple caso aislado, sino de una operación global dirigida por un grupo de ciberdelincuentes de habla china conocido como la “Tríada del Smishing”.
Este grupo había perfeccionado una técnica para enviar mensajes de texto fraudulentos a nivel masivo, suplantando a empresas legítimas como el USPS y dirigiendo a las víctimas a sitios web falsos donde se les pedía ingresar información personal y financiera.
Smith utilizó sus conocimientos avanzados en ciberseguridad para infiltrarse en los sistemas de los estafadores. Mediante técnicas de hacking como la inyección SQL y el salto de directorio (path traversal), logró acceder a las bases de datos y archivos de los sitios web fraudulentos. La inyección SQL le permitió manipular las consultas a las bases de datos, mientras que el salto de directorio le permitió acceder a archivos fuera del directorio raíz del servidor.
Una vez dentro, el experto se dio cuenta de la magnitud de la operación. Los estafadores no solo estaban recolectando datos personales de miles de personas, sino que habían diseñado un sistema extremadamente organizado y difícil de rastrear.
A medida que profundizaba en el código de los sitios web, descubrió múltiples capas de cifrado y técnicas de ofuscación diseñadas para proteger el código de miradas indiscretas. Sin embargo, con la ayuda de herramientas de desofuscación y su vasta experiencia, Smith logró descifrar el código y obtener información crucial sobre cómo funcionaba el sistema.
La impactante cifra de datos robados
Uno de los hallazgos más impactantes fue que el kit de smishing utilizado por la Tríada del Smishing incluía una puerta trasera que permitía al creador acceder a los paneles de administración de los estafadores que compraban su producto. Esto significaba que, además de ganar dinero vendiendo el kit, el desarrollador también tenía acceso a los datos robados por sus clientes, lo que sugiere una doble explotación de los datos filtrados.
Durante su investigación, Smith recopiló una impresionante cantidad de datos. En total, encontró 438.669 números de tarjetas de crédito únicos distribuidos en 1.133 dominios utilizados por los estafadores.
Además, recolectó más de 50.000 direcciones de correo electrónico, entre las cuales se incluían cientos de correos de universidades y dominios gubernamentales o militares. Las víctimas estaban repartidas por todo Estados Unidos, siendo California el estado con más casos registrados. En total se recopilaron más de 1.2 millones de datos personales.
Con toda esta información, el experto en ciberseguridad decidió que era momento de actuar. Aunque sabía que su investigación caía en una “zona gris” legal, ya que muchas de las técnicas utilizadas podrían interpretarse como una violación de la Ley de Fraude y Abuso Informático (CFAA) de Estados Unidos, Smith estaba decidido a detener a los estafadores.
Contactó a un banco estadounidense que se interesó en sus hallazgos tras ver sus publicaciones en un blog. Aunque Smith no reveló el nombre del banco, compartió con ellos todos los datos que había reunido, permitiendo que se protegieran las tarjetas de crédito de las víctimas. Además, entregó toda la información a las autoridades estadounidenses, incluyendo al Servicio de Inspección Postal de los Estados Unidos (USPIS) y al FBI.
Últimas Noticias
Tiene 24 años, contrató genios de Meta la empresa de Zuckerberg y ahora tiene negocio de matemáticas con IA
Carina Hong fundó Axiom Math tras abandonar la universidad y captar talento de élite, posicionándose como figura clave en la nueva ola de innovación tecnológica
Top 10 de las profesiones que no se deben estudiar en 2026
La elección de una carrera universitaria está marcada por la preocupación de perder empleos ante la automatización y el avance de la inteligencia artificial
Cuál es el peor regalo de tecnología para esta Navidad 2025 y por qué
Un análisis de los sistemas Gemini y ChatGPT revela qué dispositivos deben evitarse como regalo en las fiestas debido a su utilidad limitada, problemas de privacidad y gastos ocultos
Este es el precio de la criptomoneda ethereum este 8 de diciembre
Ethereum fue creada en 2015 por el programador Vitalik Buterin, con la intención de impulsar un instrumento para aplicaciones descentralizadas y colaborativas
Bitcoin: cómo se ha movido en el mercado este día
El bitcoin ha sentado las bases para la creación de muchas de las monedas virtuales existentes en el mercado y ha marcado un momento crucial para las soluciones de pago digital
