La investigación publicada por Infoblox sobre un fraude telefónico sofisticado que combina CAPTCHAs falsos y sistemas de distribución de tráfico (TDS) revela una estafa con varias capas que no solo engaña al usuario final sino que explota las reglas de negocio de los operadores móviles para lucrarse con el envío masivo de SMS internacionales de tarifa elevada.
En su forma operativa, la estafa redirige a víctimas desde anuncios o enlaces maliciosos hacia páginas que simulan verificaciones humanas; estas páginas orquestan una cadena de acciones que abre de forma programada la aplicación de mensajería del dispositivo con mensajes y números precompletados, provocando el envío de decenas de SMS a números de alto coste ubicados en múltiples países. Infoblox detectó hasta 35 números en 17 países y flujos que pueden provocar el envío de hasta 60 mensajes tras varias “verificaciones”, situación que puede traducirse en cargos que, aunque modestos por usuario (ej. ~30 USD), son altamente rentables si se multiplican a gran escala.
Lo que hace especialmente peligrosa esta campaña es la convergencia de dos técnicas: la clásica International Revenue Share Fraud (IRSF), que explota acuerdos de terminación y reparto de ingresos entre operadores, y el mal uso de plataformas de tracking/TDS como Keitaro para distribuir, camuflar y escalar los enlaces maliciosos. Al funcionar como capa de cloaking y redirección, el TDS evita la detección temprana y permite que operadores de la estafa roten números y mensajes para maximizar ingresos antes de ser bloqueados.
El abuso de TDS también facilita que actores reutilicen infraestructuras legitimadas (servidores Keitaro, cuentas de rastreo) para múltiples fines maliciosos: desde el envío de malware hasta estafas de inversión y drenado de criptomonedas, a menudo amplificadas por anuncios pagados y técnicas de ingeniería social que incluyen deepfakes y artículos falsos. Confiant y otros proveedores han documentado cómo estas plataformas pueden ser compradas o explotadas con licencias comprometidas, convirtiéndolas en una herramienta todo‑en‑uno para campañas a gran escala.
Las implicaciones son dobles: por un lado, los usuarios sufren cargos inesperados en sus facturas que muchas veces aparecen semanas después y son difíciles de relacionar con una visita puntual a una página web; por otro lado, las operadoras soportan costes por las terminaciones y afrontan disputas y reembolsos mientras una porción del pago acabó en manos de los defraudadores a través de acuerdos de reparto con administradores de los números premium.
Como medidas inmediatas, los usuarios deben adoptar una actitud preventiva: no interactuar con ventanas emergentes que piden “confirmar con un SMS”, cerrar el navegador (no solo pulsar atrás) si una página parece insistente, revisar y desactivar permisos innecesarios para que enlaces no lancen aplicaciones de mensajería sin su consentimiento, y usar bloqueadores de scripts y anuncios que reduzcan la probabilidad de ser redirigidos. Es recomendable también revisar la factura móvil con detalle y disputar cargos sospechosos con la operadora cuanto antes.
Las empresas y operadores móviles deben mejorar la detección de patrones de terminación anómalos, compartir indicadores de compromiso entre carriers y con agencias reguladoras, y aplicar bloqueos preventivos o límites para rangos geográficos de alto riesgo. Adicionalmente, los proveedores de soluciones de tracking y TDS deben reforzar controles de uso, autenticar clientes y vigilar el abuso de licencias para evitar que sus productos se transformen en plataformas de fraude.
Para quienes gestionan publicidad online, es clave auditar campañas y partners, exigir transparencia en la cadena de redireccionamiento y bloquear creatividades o dominios que redirijan a flujos sospechosos. Las plataformas publicitarias deben acelerar la detección de anuncios que promocionan esquemas con promesas irreales (p. ej. airdrops falsos o rentabilidades garantizadas por IA) y limitar el uso de cuentas nuevas no verificadas.
Esta amenaza demuestra que incluso técnicas antiguas como el IRSF evolucionan cuando se combinan con herramientas modernas de distribución y con ingeniería social bien afinada. Para más contexto técnico sobre la naturaleza del fraude y el abuso de TDS puede consultarse el trabajo de Infoblox y los análisis de proveedores de seguridad: Infoblox, Confiant, y documentación sobre el fenómeno IRSF en general en Wikipedia.
En resumen, la protección exige acciones coordinadas: los usuarios deben reducir su exposición y reaccionar rápido ante cargos sospechosos; los operadores deben mejorar monitoreo y políticas de reparto de ingresos; y las plataformas publicitarias y de rastreo deben endurecer controles de acceso para impedir que sus servicios sean reciclados en campañas fraudulentas a gran escala. Sin esa coordinación, este tipo de estafas seguirá siendo rentable y persistente.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...