IA y CAPTCHA falsos: Nueva campaña de fraude por SMS

Campaña de fraude masivo con CAPTCHA falsos genera millones mediante SMS premium

Investigadores de ciberseguridad han revelado los detalles de una campaña de fraude en telecomunicaciones que utiliza trucos de verificación CAPTCHA falsos para engañar a usuarios desprevenidos y hacerles enviar mensajes de texto internacionales que generan cargos en sus facturas móviles, creando ingresos ilícitos para los ciberdelincuentes que alquilan los números telefónicos.

Según un nuevo informe publicado por Infoblox, se cree que la operación ha estado activa desde al menos junio de 2020, utilizando métodos como ingeniería social y secuestro del botón de retroceso en navegadores web. Se han observado hasta 35 números telefónicos que abarcan 17 países como parte de la campaña de fraude de participación en ingresos internacionales (IRSF, por sus siglas en inglés).

"El CAPTCHA falso tiene múltiples pasos, y cada mensaje elaborado por el sitio está preconfigurado con más de una docena de números telefónicos, lo que significa que la víctima no es cobrada por un solo mensaje, sino que es cobrada por enviar SMS a más de 50 destinos internacionales", dijeron los investigadores David Brunsdon y Darby Wise en un análisis.

"Este tipo de estafa también se beneficia de la facturación retrasada, ya que los cargos por 'SMS internacionales' a menudo aparecen en la factura de la víctima semanas después y la experiencia con el CAPTCHA falso ha sido olvidada hace mucho tiempo".

Convergencia de fraude y sistemas de distribución maliciosa

Lo que hace notable la amenaza es la convergencia del fraude de participación en ingresos y los sistemas de distribución de tráfico malicioso (TDS), con la actividad utilizando la infraestructura —tradicionalmente responsable de enrutar tráfico a páginas de malware o phishing a través de una cadena de redirección para evadir la detección— para realizar estafas de SMS a gran escala.

Los esquemas IRSF involucran a estafadores que adquieren ilegalmente números internacionales de tarifa premium (IPRN) o rangos de números e inflan artificialmente el volumen de llamadas o mensajes internacionales a esos números para recibir una parte de los ingresos generados por estas llamadas de los cargos de terminación obtenidos por el titular del rango de números para el tráfico entrante a los rangos de números.

En este contexto, una tarifa de terminación se refiere a los cargos entre operadores pagados por un operador de telecomunicaciones originario a un operador de terminación por completar una llamada en su red. Es la explotación de estos acuerdos de "participación en ingresos" lo que impulsa el IRSF, ya que el operador originario termina pagando tarifas de terminación a la red de destino por las llamadas entrantes a los destinos de alto costo, una porción de la cual se divide con los estafadores.

Mecánica de la estafa: hasta 60 SMS por víctima

Infoblox dijo que la campaña observada específicamente registra números telefónicos en países con altas tarifas de terminación o regulaciones laxas, como Azerbaiyán, Kazajistán, o ciertos rangos de números de tarifa premium en Europa, y se confabula con proveedores de telecomunicaciones locales para llevar a cabo la estafa.

Toda la campaña se desarrolla así: un usuario es redirigido a una página web falsa usando un TDS comercial, que sirve un CAPTCHA que les instruye enviar un SMS para "confirmar que eres humano". Esto, a su vez, desencadena una cadena de "verificación" de múltiples etapas, con cada paso activando un mensaje SMS separado a los números designados por el servidor mediante el lanzamiento programático de las aplicaciones de SMS en dispositivos Android e iOS con los números telefónicos y el contenido del mensaje prellenados.

En el proceso, se envían hasta 60 mensajes SMS a 15 números únicos después de cuatro pasos de CAPTCHA, lo que podría terminar costando a un usuario 30 dólares. Aunque puede ser una cantidad relativamente pequeña, la empresa de inteligencia de amenazas DNS advirtió que podrían acumularse rápidamente para el actor de amenazas cuando se lleva a cabo a gran escala.

Técnicas avanzadas de retención de víctimas

La campaña depende en gran medida de cookies para rastrear el progreso a través del flujo de verificación falso, utilizando valores almacenados en ciertas cookies (por ejemplo, "successRate") para determinar el siguiente curso de acción. Si se considera que un usuario no es adecuado para la campaña, la página está diseñada para redirigirlos a una página CAPTCHA completamente diferente que probablemente sea parte de una campaña separada o controlada por un actor diferente.

Otra estrategia novedosa adoptada por los operadores de la estafa es el uso del secuestro del botón de retroceso, que se basa en JavaScript para alterar el historial de navegación de tal manera que cualquier intento hecho por el visitante del sitio para navegar fuera de la página CAPTCHA presionando el botón de retroceso del navegador redirige al usuario de vuelta a la página falsa, atrapándolos efectivamente en un bucle de navegación a menos que opten por salir completamente del navegador.

Abuso masivo de la plataforma Keitaro

La revelación llega cuando la empresa, en colaboración con Confiant, publicó un análisis de tres partes detallando cómo Keitaro TDS (también conocido como Keitaro Tracker) está siendo abusado, en algunos casos mediante la adquisición de licencias robadas o crackeadas, por una amplia gama de actores de amenazas para actividades maliciosas, incluyendo entrega de malware, robo de criptomonedas y estafas de inversión que afirman emplear inteligencia artificial para automatizar el comercio y prometen enormes retornos.

La estafa hace uso de anuncios de Facebook para atraer víctimas a las plataformas fraudulentas impulsadas por IA, en algunos casos incluso recurriendo a fabricar respaldos de celebridades promovidos a través de artículos de noticias falsas y videos deepfake para promover el esquema de inversión. El uso de videos sintéticos ha sido atribuido a un actor de amenazas denominado FaiKast.

En total, más de 120 campañas distintas han abusado del TDS de Keitaro para la entrega de enlaces durante un período de cuatro meses entre octubre de 2025 y enero de 2026. Infoblox señaló que sus clientes registraron aproximadamente 226,000 consultas DNS que abarcan 13,500 dominios asociados con actividad relacionada con Keitaro durante el período de tiempo.

Impacto económico y medidas de respuesta

"Esta operación defrauda tanto a individuos como a operadores de telecomunicaciones simultáneamente. Las víctimas individuales enfrentan cargos inesperados de SMS premium en sus facturas y tendrían dificultades para identificar y reportar el fraude cuando se origina de una fuente tan inesperada", concluyó Infoblox. "Los operadores de telecomunicaciones pagan participación en ingresos a los perpetradores mientras probablemente absorben las pérdidas de disputas de clientes o contracargos".

Tras la divulgación responsable, Keitaro ha intervenido para cancelar más de una docena de cuentas vinculadas a estas actividades. Aproximadamente el 96% del tráfico de spam vinculado a Keitaro promovió esquemas de drenaje de billeteras de criptomonedas, principalmente a través de señuelos falsos de airdrop/sorteo centrados en AURA, SOL (token Solana), Phantom (billetera) y Jupiter (DEX/agregador).