Los routers portátiles son dispositivos que utilizan los datos móviles de una tarjeta SIM y la transmiten como si fuese una red WiFi. La mayoría funcionan con una batería y no necesitan cables de corriente ni instalación de línea fija. Este tipo de enrutadores pueden ser de utilidad, sobre todo para usuarios con una segunda residencia o que suelen viajar mucho.
Un análisis publicado el martes de esta semana, 30 de septiembre de 2025, por Sekoia recoge que cientos de estos enrutadores, fabricados por Milesight IoT Co., Ltd (con sede en China) contenían «rastros de red sospechosos». Algunos de estos aparatos se estaban utilizando para enviar mensajes SMS con URL de phishing.
Los investigadores identificaron más de 18.000 routers de este tipo accesibles en Internet. De estos, al menos 572 enrutadores daban acceso a interfaces de programación para usarlos para mandar SMS fraudulentos. Según señalan en el informe, gran parte de estos routers celulares tenían instaladas versiones de firmware desfasadas y presentaban vulnerabilidades.
Campañas de smishing en Europa
Los expertos de Sekoia enviaron solicitudes a las API no autenticadas que enviaban contenido de las bandejas de entrada y salida de SMS de los routers. Con el estudio, comprobaron que las estafas a través de SMS se remontaban a octubre de 2023, hace ya un par de años. Los mensajes fraudulentos se habían enviado a varios países, pero estaban especialmente dirigidos a números de Suecia, Bélgica e Italia.
Una estafa fácil de ocultar
Los SMS maliciosos pedían a los usuarios iniciar sesión en varias cuentas. En muchos casos, estaban relacionados con supuestos servicios gubernamentales y se excusaban en la necesidad de verificar la identidad de las personas online para obtener información. Las campañas de smishing incluían enlaces en los mensajes y los usuarios que picaban terminaban siendo dirigidos a páginas web falsas a las que facilitaban datos privados.
Jeremy Scion y Marc N., investigadores de Sekoia, explican que la explotación de routers portátiles vulnerables es «un vector de entrega relativamente sencillo, pero efectivo». Mediante este tipo de dispositivos, los atacantes podían distribuir SMS en múltiples países, pero ocultando su huella, puesto que el origen del ataque es muy difícil de detectar con este sistema.
«Esta campaña destaca porque demuestra el impacto que pueden tener las operaciones de smishing utilizando una infraestructura sencilla y accesible -detallan en el comunicado-. Dada la utilidad estratégica de estos equipos, es muy probable que dispositivos similares ya se estén utilizando en campañas de smishing actuales o futuras».
Los routers estaban desactualizados
El problema que permitía enviar masivamente SMS fraudulentos no está confirmado todavía. Sin embargo, los expertos de Sekoia creen que se trata de la vulnerabilidad CVE-2023-43261. En teoría, esta fue corregida en los enrutadores de Milesight IoT en 2023, con el lanzamiento de la versión 35.3.0.7 del firmware. No obstante, los 572 identificados como no seguros estaban desactualizados, con la versión 32 o anterior.
La vulnerabilidad CVE-2023-43261 se debía a una configuración errónea, que permitía que los archivos de almacenamiento de los routers estuviesen disponibles públicamente en Internet. Entre los datos que se filtraron, se encontraban contraseñas protegidas criptográficamente para cuentas. Aunque las credenciales estaban cifradas, los archivos incluían la clave para descifrarlas y los ciberdelincuentes podían aprovecharlo para obtener la contraseña en texto plano y acceder al enrutador.
Durante la investigación de Sekoia, los expertos descubrieron que algunos sitios registraban las interacciones de los visitantes a través de un bot de Telegram llamado GroozaBot.
