Una campaña de fraude SMS internacional de gran escala está elevando el listón del teleco‑fraude: investigadores de ciberseguridad han documentado cómo actores maliciosos utilizan CAPTCHA falsas para inducir a los usuarios a enviar, sin darse cuenta, SMS internacionales de alto coste. Los mensajes se dirigen a rangos de numeración premium controlados por los estafadores y generan ingresos ilícitos que solo se reflejan en la factura del usuario semanas después.
Fraude SMS internacional IRSF: qué es y cómo se explota
La operación se encuadra en el conocido International Revenue Share Fraud (IRSF), un tipo de fraude en telecomunicaciones basado en compartir ingresos procedentes de tráfico internacional. En este modelo, el operador que origina la llamada o el SMS paga una tasa de terminación al operador donde finaliza la comunicación. Para ciertos rangos internacionales y números premium, esta tasa es especialmente elevada y se comparte contractualmente con el titular del rango de numeración.
Los ciberdelincuentes se aprovechan de este mecanismo controlando directamente estos rangos o colaborando con operadores locales que facilitan su uso. A continuación, fuerzan de manera artificial un gran volumen de llamadas o SMS hacia dichos números para maximizar el ingreso. Según datos de Infoblox, la campaña analizada emplea al menos 35 números telefónicos en 17 países, con especial presencia en destinos de alta tarifa de terminación y regulación laxa, como Azerbaiyán, Kazajistán y determinados bloques premium europeos.
CAPTCHA falsa y SMS premium: ingeniería social en cuatro pasos
Las víctimas llegan a las páginas fraudulentas a través de Traffic Distribution Systems (TDS) comerciales, usados habitualmente en marketing digital para dirigir tráfico a distintas landing pages. En lugar de un reto visual clásico, la página pide al usuario “confirmar que es humano” enviando un SMS a un número indicado.
En dispositivos móviles Android e iOS, un script en JavaScript invoca el cliente de mensajería mediante esquemas de URL especiales, pre‑rellenando tanto el texto del mensaje como una lista de destinatarios. El usuario solo ve una ventana de SMS aparentemente normal; al pulsar “Enviar”, en realidad está remitiendo un conjunto de mensajes a múltiples números internacionales.
El proceso se repite en una secuencia de varios “pasos” de verificación. Infoblox calcula que, en solo cuatro interacciones, la CAPTCHA fraudulenta puede desencadenar el envío de hasta 60 SMS a 15 números distintos, generando de media unos 30 dólares de coste adicional por víctima. Cada paso carga de forma transparente un nuevo conjunto de números, de modo que el usuario no percibe que está financiando una operación de IRSF.
El impacto se agrava por el billing diferido: en muchos operadores, los SMS internacionales se reflejan en la factura con semanas de retraso. Para entonces, la mayoría de los usuarios ya no asocia el cargo con una visita puntual a una web dudosa.
Uso de TDS, cookies y “back button hijacking” para optimizar el fraude
Un rasgo clave de la campaña es la combinación de IRSF con un uso abusivo de TDS. Estas plataformas permiten a los atacantes segmentar a las víctimas por país, operador, tipo de dispositivo o comportamiento y dirigir solo el tráfico “rentable” hacia la CAPTCHA fraudulenta, mientras redirigen al resto a otras páginas de baja o nula sospecha.
Los operadores del fraude emplean cookies para registrar el progreso en la supuesta verificación, con parámetros como successRate que determinan qué contenido mostrar a continuación: continuar la cadena de SMS, derivar a otra landing o descartar al usuario. Si la víctima no encaja en el perfil deseado, se la envía a otra página con una CAPTCHA diferente, probablemente perteneciente a otra campaña de fraude.
Además, se ha observado la técnica de back button hijacking. Mediante manipulación del historial del navegador, cada vez que el usuario pulsa “Atrás” es redirigido de nuevo a la misma página de CAPTCHA, quedando atrapado en un bucle de navegación. Esto dificulta abandonar el sitio y aumenta la probabilidad de que al menos una parte de la cadena de SMS ya haya sido enviada.
Impacto económico para usuarios y operadoras de telecomunicaciones
El fraude IRSF perjudica simultáneamente a clientes finales y operadores de telecomunicaciones. Los usuarios se enfrentan a cargos inesperados por SMS internacionales premium, difíciles de impugnar porque, técnicamente, se trata de mensajes salientes legítimos enviados desde su propio terminal.
Las operadoras, por su parte, deben compartir el ingreso de terminación con los titulares de los rangos de numeración, aunque la generación del tráfico haya sido fraudulenta. Con frecuencia se ven obligadas a asumir devoluciones, descuentos comerciales o litigios por reclamaciones, lo que erosiona márgenes y reputación. Asociaciones sectoriales como la GSMA han señalado el IRSF como una de las modalidades de fraude más costosas para la industria, con pérdidas globales estimadas en miles de millones de dólares anuales.
Abuso de Keitaro TDS: de SMS premium a malware y estafas cripto
Paralelamente a la campaña de SMS, Infoblox y Confiant han documentado el uso sistemático de Keitaro TDS (Keitaro Tracker) en ecosistemas de fraude en línea. Keitaro es una solución legítima, autoalojada, para seguimiento de campañas y enrutamiento condicional de tráfico; sin embargo, diversos grupos criminales emplean licencias robadas o comprometidas para convertirla en una plataforma integral de camuflaje, distribución de malware y estafas financieras.
Entre las tácticas detectadas figuran campañas de robo de criptomonedas y falsas inversiones basadas en inteligencia artificial, promovidas mediante anuncios en Facebook Ads, artículos de noticias simulados y vídeos deepfake con supuestas recomendaciones de celebridades. Un operador apodado FaiKast habría orquestado, en solo cuatro meses, más de 120 campañas que usaban Keitaro para distribuir enlaces maliciosos, generando alrededor de 226 000 peticiones DNS hacia unos 13 500 dominios relacionados.
Cerca del 96 % del tráfico malicioso asociado a Keitaro correspondía a esquemas de tipo wallet drainer, disfrazados de airdrops o sorteos vinculados a tokens como AURA y SOL (Solana), la wallet Phantom o el agregador DEX Jupiter. Tras las notificaciones de los investigadores, el proveedor de Keitaro bloqueó varias cuentas implicadas, aunque el abuso de plataformas TDS sigue siendo una tendencia consolidada en el ecosistema de cibercrimen.
Esta campaña de fraude SMS internacional demuestra la eficacia de combinar ingeniería social, abuso de infraestructuras publicitarias y explotación de mecanismos poco visibles de la red telefónica. Para los usuarios, la recomendación esencial es no enviar nunca SMS ni realizar llamadas solicitadas por páginas web desconocidas, revisar con regularidad el detalle de las facturas y solicitar al operador el bloqueo de servicios premium cuando sea posible. Para empresas y operadores, resulta crítico desplegar análisis de comportamiento del tráfico, monitorización DNS y de anomalías en destinos internacionales, así como compartir indicadores de compromiso a través de canales sectoriales. Una mayor concienciación y controles proactivos son claves para reducir el riesgo del IRSF y de las estafas apoyadas en TDS.
