Investigadores de ciberseguridad han revelado detalles de una campaña de fraude en telecomunicaciones que utiliza trucos de verificación CAPTCHA falsos para engañar a usuarios desprevenidos y enviarles mensajes de texto internacionales que generan cargos en sus facturas de telefonía móvil, generando ingresos ilícitos para los actores de amenazas que alquilan los números de teléfono.
Según un nuevo informe publicado por Infoblox, se cree que la operación ha estado activa desde al menos junio de 2020, utilizando métodos como ingeniería social y secuestro del botón de retroceso en los navegadores web. Se han observado hasta 35 números de teléfono que abarcan 17 países como parte de la campaña internacional de fraude en el reparto de ingresos (IRSF).
«El CAPTCHA falso tiene múltiples pasos, y cada mensaje elaborado por el sitio está preconfigurado con más de una docena de números de teléfono, lo que significa que a la víctima no se le cobra por un solo mensaje: se le cobra por enviar SMS a más de 50 destinos internacionales», dijeron los investigadores David Brunsdon y Darby Wise en un análisis.
«Este tipo de estafa también se beneficia del retraso en la facturación, ya que los cargos por ‘SMS internacionales’ suelen aparecer en la factura de la víctima semanas después y la experiencia con el CAPTCHA falso ha quedado olvidada hace mucho tiempo».
Lo que hace que la amenaza sea notable es la unión del fraude de reparto de ingresos y los sistemas de distribución de tráfico malicioso (TDS), con la actividad utilizando la infraestructura (tradicionalmente responsable de enrutar el tráfico a páginas de malware o phishing a través de una cadena de redireccionamiento para evadir la detección) para realizar estafas por SMS a escala.
Los esquemas del IRSF implican que los estafadores adquieran ilegalmente números de tarifa premium internacional (IPRN) o rangos de números e inflen artificialmente el volumen de llamadas o mensajes internacionales a esos números para recibir una parte de los ingresos generados por estas llamadas a partir de los cargos de terminación obtenidos por el titular del rango de números para el tráfico entrante a los rangos de números.
En este contexto, una tarifa de terminación se refiere a los cargos entre operadores pagados por un operador de telecomunicaciones de origen a un operador de destino para completar una llamada en su red. Es la explotación de estos acuerdos de «reparto de ingresos» lo que impulsa al IRSF, ya que el operador de origen termina pagando tarifas de terminación a la red de destino por las llamadas entrantes a destinos de alto costo, una parte de las cuales se divide con los estafadores.
Infoblox dijo que la campaña observada registra específicamente números de teléfono en países con altas tarifas de terminación o regulaciones laxas, como Azerbaiyán, Kazajstán o ciertos rangos de números de tarifa premium en Europa, y se confabula con proveedores de telecomunicaciones locales para llevar a cabo la estafa.
Toda la campaña se desarrolla así: un usuario es redirigido a una página web falsa utilizando un TDS comercial, que sirve un CAPTCHA que le indica que envíe un SMS para «confirmar que es humano». Esto, a su vez, desencadena una cadena de «verificación» de varias etapas, en la que cada paso activa un mensaje SMS independiente a los números designados por el servidor al iniciar mediante programación las aplicaciones de SMS en dispositivos Android e iOS con los números de teléfono y el contenido del mensaje precargados.
En el proceso, se envían hasta 60 mensajes SMS a 15 números únicos después de cuatro pasos de CAPTCHA, lo que podría terminar costándole al usuario $30. Si bien puede ser una cantidad relativamente pequeña, la firma de inteligencia de amenazas DNS advirtió que podrían sumarse rápidamente para el actor de amenazas cuando se llevan a cabo a escala. La lista de números de teléfono abarca 17 países, como Azerbaiyán, Países Bajos, Bélgica, Polonia, España y Turquía.
La campaña depende en gran medida de las cookies para rastrear la progresión a través del flujo de verificación falso, utilizando valores almacenados en ciertas cookies (por ejemplo, «tasa de éxito») para determinar el siguiente curso de acción. Si se considera que un usuario no es apto para la campaña, la página está diseñada para redirigirlo a una página CAPTCHA completamente diferente que probablemente forme parte de una campaña separada o esté controlada por un actor diferente.
Otra estrategia novedosa adoptada por los operadores de estafas es el uso del secuestro del botón Atrás, que se basa en JavaScript para alterar el historial de navegación de modo que cualquier intento realizado por el visitante del sitio de navegar fuera de la página CAPTCHA presionando el botón Atrás del navegador redirige al usuario a la página falsa, atrapándolo efectivamente en un bucle de navegación a menos que opte por salir completamente del navegador.
 |
| Cadena de redireccionamiento que conduce a una página CAPTCHA falsa |
«Esta operación defrauda tanto a individuos como a operadores de telecomunicaciones simultáneamente. Las víctimas individuales enfrentan cargos inesperados por SMS en sus facturas y tendrían dificultades para identificar y denunciar el fraude cuando se origina en una fuente tan inesperada», concluyó Infoblox. «Los operadores de telecomunicaciones pagan una parte de los ingresos a los perpetradores y probablemente absorben las pérdidas de las disputas de los clientes o las devoluciones de cargo».
Cómo los actores de amenazas abusan de tres TDS
La divulgación se produce cuando la compañía, en colaboración con Confiant, publicó un análisis de tres partes que detalla cómo Keitaro TDS (también conocido como Keitaro Tracker) está siendo abusado, en algunos casos mediante la adquisición de licencias robadas o descifradas (como en el caso de TA2726), por parte de una amplia gama de actores de amenazas para actividades maliciosas, incluida la entrega de malware, el robo de criptomonedas y estafas de inversión que afirman emplear inteligencia artificial (IA) para automatizar el comercio y prometen grandes ganancias.
La estafa utiliza anuncios de Facebook para atraer a las víctimas a plataformas fraudulentas impulsadas por inteligencia artificial y, en algunos casos, incluso recurre a la fabricación de respaldos de celebridades a través de artículos de noticias falsos y videos falsos para promover el plan de inversión. El uso de vídeos sintéticos se ha atribuido a un actor de amenazas denominado FaiKast.
«Keitaro es ante todo un rastreador de rendimiento publicitario autohospedado diseñado para enrutar condicionalmente a los visitantes mediante flujos», dijeron las empresas. «Los actores de amenazas reutilizan este mecanismo, transformando un servidor Keitaro en una herramienta todo en uno que actúa como un sistema de distribución de tráfico, rastreador y capa de encubrimiento».
 |
| Distribución de campañas de spam observadas utilizando Keitaro |
En total, más de 120 campañas distintas han abusado del TDS de Keitaro para la entrega de enlaces durante un período de cuatro meses entre octubre de 2025 y enero de 2026. Infoblox señaló que sus clientes registraron alrededor de 226.000 consultas de DNS que abarcaban 13.500 dominios asociados con la actividad relacionada con Keitaro durante el período. Tras una revelación responsable, Keitaro intervino para cancelar más de una docena de cuentas vinculadas a estas actividades.
«Al combinar un tema de fraude de inversiones más antiguo pero aún muy eficaz con tecnologías modernas de inteligencia artificial, los actores han podido lanzar campañas cibernéticas a gran escala y muy convincentes», dijeron Infoblox y Confiant. «Aproximadamente el 96% del tráfico de spam vinculado a Keitaro promovió esquemas de drenaje de billeteras de criptomonedas, principalmente a través de señuelos falsos de lanzamiento aéreo/obsequios centrados en AURA, SOL (token Solana), Phantom (billetera) y Júpiter (DEX/agregador)».
