{"id":674,"date":"2026-04-27T09:43:00","date_gmt":"2026-04-27T09:43:00","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/estafa-falsa-de-captcha-irsf-y-120-campanas-de-keitaro-impulsan-sms-globales-y-fraude-criptografico-cyberdefensa-mx\/"},"modified":"2026-04-27T09:43:00","modified_gmt":"2026-04-27T09:43:00","slug":"estafa-falsa-de-captcha-irsf-y-120-campanas-de-keitaro-impulsan-sms-globales-y-fraude-criptografico-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/estafa-falsa-de-captcha-irsf-y-120-campanas-de-keitaro-impulsan-sms-globales-y-fraude-criptografico-cyberdefensa-mx\/","title":{"rendered":"Estafa falsa de CAPTCHA IRSF y 120 campa\u00f1as de Keitaro impulsan SMS globales y fraude criptogr\u00e1fico \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de una campa\u00f1a de fraude en telecomunicaciones que utiliza trucos de verificaci\u00f3n CAPTCHA falsos para enga\u00f1ar a usuarios desprevenidos y enviarles mensajes de texto internacionales que generan cargos en sus facturas de telefon\u00eda m\u00f3vil, generando ingresos il\u00edcitos para los actores de amenazas que alquilan los n\u00fameros de tel\u00e9fono.<\/p>\n

Seg\u00fan un nuevo informe publicado por Infoblox, se cree que la operaci\u00f3n ha estado activa desde al menos junio de 2020, utilizando m\u00e9todos como ingenier\u00eda social y secuestro del bot\u00f3n de retroceso en los navegadores web. Se han observado hasta 35 n\u00fameros de tel\u00e9fono que abarcan 17 pa\u00edses como parte del fraude internacional de reparto de ingresos (IRSF<\/a>) campa\u00f1a.<\/p>\n

\u00abEl CAPTCHA falso tiene m\u00faltiples pasos, y cada mensaje elaborado por el sitio est\u00e1 preconfigurado con m\u00e1s de una docena de n\u00fameros de tel\u00e9fono, lo que significa que a la v\u00edctima no se le cobra por un solo mensaje, sino que se le cobra por enviar SMS a m\u00e1s de 50 destinos internacionales\u00bb, investigadores David Brunsdon y Darby Wise dicho<\/a> en un an\u00e1lisis.<\/p>\n

\u00abEste tipo de estafa tambi\u00e9n se beneficia del retraso en la facturaci\u00f3n, ya que los cargos por ‘SMS internacionales’ suelen aparecer en la factura de la v\u00edctima semanas despu\u00e9s y la experiencia con el CAPTCHA falso ha quedado olvidada hace mucho tiempo\u00bb.<\/p>\n

Lo que hace que la amenaza sea notable es la combinaci\u00f3n de fraude en el reparto de ingresos y sistemas de distribuci\u00f3n de tr\u00e1fico malicioso (TDS<\/a>), y la actividad utiliza la infraestructura (tradicionalmente responsable de enrutar el tr\u00e1fico a malware o p\u00e1ginas de phishing a trav\u00e9s de una cadena de redireccionamiento para evadir la detecci\u00f3n) para realizar estafas por SMS a escala.<\/p>\n

Los esquemas del IRSF implican que los estafadores adquieran ilegalmente n\u00fameros de tarifa premium internacional (IPRN) o rangos de n\u00fameros e inflen artificialmente el volumen de llamadas o mensajes internacionales a esos n\u00fameros para recibir una parte de los ingresos generados por estas llamadas a partir de los cargos de terminaci\u00f3n obtenidos por el titular del rango de n\u00fameros para el tr\u00e1fico entrante a los rangos de n\u00fameros.<\/p>\n

En este contexto, una tarifa de terminaci\u00f3n se refiere a los cargos entre operadores pagados por un operador de telecomunicaciones de origen a un operador de destino para completar una llamada en su red. Es la explotaci\u00f3n de estos acuerdos de \u00abreparto de ingresos\u00bb lo que impulsa al IRSF, ya que el operador de origen termina pagando tarifas de terminaci\u00f3n a la red de destino por las llamadas entrantes a destinos de alto costo, una parte de las cuales se divide con los estafadores.<\/p>\n

Infoblox dijo que la campa\u00f1a observada registra espec\u00edficamente n\u00fameros de tel\u00e9fono en pa\u00edses con altas tarifas de terminaci\u00f3n o regulaciones laxas, como Azerbaiy\u00e1n, Kazajst\u00e1n o ciertos rangos de n\u00fameros de tarifa premium en Europa, y se confabula con proveedores de telecomunicaciones locales para llevar a cabo la estafa.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Toda la campa\u00f1a se desarrolla as\u00ed: un usuario es redirigido a una p\u00e1gina web falsa utilizando un TDS comercial, que sirve un CAPTCHA que le indica que env\u00ede un SMS para \u00abconfirmar que es humano\u00bb. Esto, a su vez, desencadena una cadena de \u00abverificaci\u00f3n\u00bb de varias etapas, en la que cada paso activa un mensaje SMS independiente a los n\u00fameros designados por el servidor al iniciar mediante programaci\u00f3n las aplicaciones de SMS en dispositivos Android e iOS con los n\u00fameros de tel\u00e9fono y el contenido del mensaje precargados.<\/p>\n

En el proceso, se env\u00edan hasta 60 mensajes SMS a 15 n\u00fameros \u00fanicos despu\u00e9s de cuatro pasos de CAPTCHA, lo que podr\u00eda terminar cost\u00e1ndole al usuario $30. Si bien puede ser una cantidad relativamente peque\u00f1a, la firma de inteligencia de amenazas DNS advirti\u00f3 que podr\u00edan sumarse r\u00e1pidamente para el actor de amenazas cuando se llevan a cabo a escala. La lista de n\u00fameros de tel\u00e9fono abarca 17 pa\u00edses, como Azerbaiy\u00e1n, Pa\u00edses Bajos, B\u00e9lgica, Polonia, Espa\u00f1a y Turqu\u00eda.<\/p>\n

La campa\u00f1a depende en gran medida de las cookies para rastrear la progresi\u00f3n a trav\u00e9s del flujo de verificaci\u00f3n falso, utilizando valores almacenados en ciertas cookies (por ejemplo, \u00abtasa de \u00e9xito\u00bb) para determinar el siguiente curso de acci\u00f3n. Si se considera que un usuario no es apto para la campa\u00f1a, la p\u00e1gina est\u00e1 dise\u00f1ada para redirigirlo a una p\u00e1gina CAPTCHA completamente diferente que probablemente forme parte de una campa\u00f1a separada o est\u00e9 controlada por un actor diferente.<\/p>\n

Otra estrategia novedosa adoptada por los operadores de estafas es el uso del secuestro del bot\u00f3n Atr\u00e1s, que se basa en JavaScript para alterar el historial de navegaci\u00f3n de modo que cualquier intento realizado por el visitante del sitio de navegar fuera de la p\u00e1gina CAPTCHA presionando el bot\u00f3n Atr\u00e1s del navegador redirige al usuario a la p\u00e1gina falsa, atrap\u00e1ndolo efectivamente en un bucle de navegaci\u00f3n a menos que opte por salir completamente del navegador.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Cadena de redireccionamiento que conduce a una p\u00e1gina CAPTCHA falsa<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00abEsta operaci\u00f3n defrauda tanto a individuos como a operadores de telecomunicaciones simult\u00e1neamente. Las v\u00edctimas individuales enfrentan cargos inesperados por SMS en sus facturas y tendr\u00edan dificultades para identificar y denunciar el fraude cuando se origina en una fuente tan inesperada\u00bb, concluy\u00f3 Infoblox. \u00abLos operadores de telecomunicaciones pagan una parte de los ingresos a los perpetradores y probablemente absorben las p\u00e9rdidas de las disputas de los clientes o las devoluciones de cargo\u00bb.<\/p>\n

C\u00f3mo los actores de amenazas abusan de Keitaro TDS<\/h3>\n

La divulgaci\u00f3n se produce cuando la empresa, en colaboraci\u00f3n con Confiante<\/a>public\u00f3 un an\u00e1lisis de tres partes que detalla c\u00f3mo una amplia gama de actores de amenazas est\u00e1n abusando del Keitaro TDS (tambi\u00e9n conocido como Keitaro Tracker), en algunos casos mediante la adquisici\u00f3n de licencias robadas o descifradas (como en el caso de TA2726). actividades maliciosas<\/a>incluida la entrega de malware, el robo de criptomonedas y las estafas de inversi\u00f3n que afirman emplear inteligencia artificial (IA) para automatizar el comercio y prometer enormes ganancias.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La estafa hace uso de Anuncios de Facebook para atraer a las v\u00edctimas<\/a> a las plataformas fraudulentas impulsadas por IA, y en algunos casos incluso recurren a fabricar respaldos de celebridades a trav\u00e9s de art\u00edculos de noticias falsos y videos falsos para promover el plan de inversi\u00f3n. El uso de v\u00eddeos sint\u00e9ticos se ha atribuido a un actor de amenazas denominado FaiKast.<\/p>\n

\u00abKeitaro es, ante todo, un rastreador de rendimiento publicitario autohospedado dise\u00f1ado para enrutar condicionalmente a los visitantes mediante flujos\u00bb, afirman las empresas. dicho<\/a>. \u00abLos actores de amenazas reutilizan este mecanismo, transformando un servidor Keitaro en una herramienta todo en uno que act\u00faa como un sistema de distribuci\u00f3n de tr\u00e1fico, rastreador y capa de encubrimiento\u00bb.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Distribuci\u00f3n de campa\u00f1as de spam observadas utilizando Keitaro<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En total, m\u00e1s de 120 campa\u00f1as distintas han abusado del TDS de Keitaro para la entrega de enlaces durante un per\u00edodo de cuatro meses entre octubre de 2025 y enero de 2026. Infoblox se\u00f1al\u00f3 que sus clientes registraron alrededor de 226.000 consultas de DNS que abarcaban 13.500 dominios asociados con la actividad relacionada con Keitaro durante el per\u00edodo. Tras una revelaci\u00f3n responsable, Keitaro intervino para cancelar m\u00e1s de una docena de cuentas vinculadas a estas actividades.<\/p>\n

\u00abAl combinar un tema de fraude de inversiones m\u00e1s antiguo pero a\u00fan muy eficaz con tecnolog\u00edas modernas de inteligencia artificial, los actores han podido lanzar campa\u00f1as cibern\u00e9ticas a gran escala y muy convincentes\u00bb, dijeron Infoblox y Confiant. \u00abAproximadamente el 96% del tr\u00e1fico de spam vinculado a Keitaro promovi\u00f3 esquemas de drenaje de billeteras de criptomonedas, principalmente a trav\u00e9s de se\u00f1uelos falsos de lanzamiento a\u00e9reo\/obsequios centrados en AURA, SOL (token Solana), Phantom (billetera) y J\u00fapiter (DEX\/agregador)\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han revelado detalles de una campa\u00f1a de fraude en telecomunicaciones que utiliza trucos de verificaci\u00f3n CAPTCHA falsos para enga\u00f1ar a usuarios desprevenidos y enviarles mensajes de texto internacionales que generan cargos en sus facturas de telefon\u00eda m\u00f3vil, generando ingresos il\u00edcitos para los actores de amenazas que alquilan los n\u00fameros de tel\u00e9fono. Seg\u00fan […]<\/p>\n","protected":false},"author":1,"featured_media":585,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[921,2105,2109,24,751,1488,1676,1097,1466,2106,2107,2108],"class_list":["post-674","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campanas","tag-captcha","tag-criptografico","tag-cyberdefensa-mx","tag-estafa","tag-falsa","tag-fraude","tag-globales","tag-impulsan","tag-irsf","tag-keitaro","tag-sms"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/674","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=674"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/674\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/585"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=674"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=674"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=674"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}