TempMail Ninja
//

Estafa Click2SMS: falsos CAPTCHAs para fraude de ingresos móviles

7 min de lectura
TempMail Ninja
Estafa Click2SMS: falsos CAPTCHAs para fraude de ingresos móviles

Contenido del artículo

En el cambiante ecosistema de las ciberamenazas de 2026, la confianza del usuario se ha convertido en el activo más valioso y, simultáneamente, en el más explotado. Recientemente, investigadores de seguridad han puesto al descubierto una sofisticada campaña de fraude que subvierte una de las herramientas de seguridad más ubicuas de la web: el CAPTCHA. Lo que a simple vista parece un trámite rutinario para “probar que eres humano”, es en realidad el motor de una estafa Click2SMS que está drenando las cuentas bancarias y los balances móviles de miles de usuarios en todo el mundo.

Esta operación, detectada y analizada en profundidad durante los últimos meses de 2026, no solo destaca por su ingenio técnico, sino por su capacidad para industrializar el fraude telefónico a través de la ingeniería social. A diferencia de los troyanos bancarios tradicionales que requieren la instalación de una aplicación maliciosa, la estafa Click2SMS utiliza el propio navegador del dispositivo móvil para forzar el envío de mensajes de texto a números internacionales de tarifa premium, generando cargos que pueden superar los 30 dólares por una sola sesión de “verificación”.

Anatomía de la estafa Click2SMS: Del typosquatting al fraude IRSF

El éxito de esta campaña radica en su estructura de múltiples capas, que comienza mucho antes de que el usuario vea el primer desafío en pantalla. Todo inicia con una red masiva de dominios de typosquatting. Los atacantes registran direcciones que imitan marcas de telecomunicaciones legítimas o servicios populares, aprovechando errores tipográficos comunes de los usuarios. Estos dominios actúan como el primer nodo de una cadena de redirección controlada por un Sistema de Distribución de Tráfico (TDS), como el conocido Keitaro.

A través de este TDS, los delincuentes pueden filtrar a sus víctimas según el sistema operativo (enfocándose casi exclusivamente en usuarios móviles), la ubicación geográfica y el proveedor de servicios de red. Una vez que el usuario es validado como un “objetivo valioso”, es dirigido a una página de aterrizaje que despliega el falso CAPTCHA. Es aquí donde la estafa Click2SMS despliega su engaño principal: en lugar de pedir que identifiques semáforos o hidrantes, la página solicita acciones que parecen técnicas pero son inofensivas en apariencia, como:

  • Verificar la versión del sistema operativo (iOS o Android).
  • Comprobar la velocidad de la red (4G, 5G o WiFi).
  • Confirmar que el navegador está actualizado.

Cada una de estas opciones es, en realidad, un disparador para un código malicioso que interactúa directamente con las funciones nativas del smartphone.

El motor técnico: JavaScript y el abuso del protocolo “sms:”

El núcleo técnico de la estafa Click2SMS reside en una función de JavaScript detectada por los investigadores como makeTrackerDownload.php (aunque el nombre puede variar para evadir firmas de seguridad). Cuando el usuario hace clic en cualquiera de los botones del falso CAPTCHA, este script ejecuta una instrucción que utiliza el protocolo de esquema sms:.

En el desarrollo web legítimo, este protocolo permite que un sitio web abra la aplicación de mensajería del usuario con un número predefinido. Sin embargo, en esta campaña de fraude, los atacantes han codificado mensajes que contienen una cadena masiva de números telefónicos internacionales. El proceso funciona de la siguiente manera:

  1. Disparo del evento: El clic del usuario activa la función JS oculta.
  2. Invocación de la App: El navegador invoca la aplicación de SMS predeterminada del dispositivo.
  3. Pre-llenado de datos: La aplicación de SMS se abre automáticamente con un mensaje de texto pre-escrito y una lista de hasta 15 números destinatarios por cada clic.
  4. Presión psicológica: La página del CAPTCHA indica que para “completar la verificación” y acceder al contenido, el usuario debe presionar “Enviar” en su aplicación de mensajes.

Lo que la víctima no percibe de inmediato es que está participando en un esquema de Fraude de Compartición de Ingresos Internacionales (IRSF). Los números a los que se envían los mensajes están ubicados en países con tasas de terminación extremadamente altas, como Azerbaiyán, Myanmar, Kazajistán y Egipto. Los delincuentes, que actúan como “socios” de estas líneas premium, reciben una comisión por cada mensaje entrante procesado por las operadoras locales en esos territorios lejanos.

Persistencia mediante el secuestro del botón de retroceso

Para maximizar el beneficio por cada víctima, los operadores de la estafa Click2SMS implementan una técnica conocida como “back-button hijacking” (secuestro del botón de retroceso). Esta táctica está diseñada para romper la navegación instintiva del usuario y atraparlo en un bucle infinito de fraude.

Mediante la manipulación de la API de historial del navegador (History API), el script malicioso inserta entradas falsas en el registro de navegación. Cada vez que el usuario intenta presionar el botón “atrás” para escapar del sitio sospechoso, el navegador no regresa a la página anterior, sino que recarga el mismo desafío de CAPTCHA o salta a otro nodo del TDS que reinicia el proceso. Esta persistencia técnica tiene un objetivo financiero claro: forzar al usuario a pasar por las cuatro o cinco etapas del falso CAPTCHA.

Investigaciones recientes de firmas como Infoblox indican que una sola sesión de “verificación” completa puede resultar en el envío de más de 60 mensajes SMS a más de 50 destinos internacionales diferentes. Dado que el costo por mensaje internacional puede ser elevado, el impacto económico inmediato para el usuario suele rondar los 30 dólares, una cifra que los atacantes consideran el “punto dulce” para evitar reportes inmediatos pero garantizar rentabilidad a gran escala.

Infraestructura y atribución: La sombra de Adam Ecotech

El análisis de la infraestructura de red utilizada para la estafa Click2SMS ha revelado conexiones con redes de afiliados europeas que operan bajo una fachada de legalidad. Muchos de los dominios maliciosos están alojados en el sistema autónomo AS15699, operado por una entidad conocida como Adam Ecotech. Esta infraestructura es tristemente célebre en el mundo de la ciberseguridad por albergar operaciones de scareware, fraude publicitario y distribución de malware.

Los investigadores han identificado que este no es un ataque aislado, sino parte de un ecosistema de “Fraude como Servicio” (Fraud-as-a-Service). Los desarrolladores de la estafa proporcionan la tecnología y los números premium, mientras que los afiliados se encargan de dirigir el tráfico a través de anuncios maliciosos (malvertising) en sitios de streaming ilegal, contenido para adultos y descargas de software pirata. El uso de cookies persistentes permite a estos afiliados rastrear el “éxito” de cada víctima y ajustar sus campañas de redirección en tiempo real.

Señales de alerta y medidas de mitigación en 2026

A medida que la estafa Click2SMS evoluciona, es imperativo que los usuarios y las empresas de seguridad reconozcan los patrones de diseño que separan un proceso legítimo de una trampa financiera. Ningún sistema CAPTCHA auténtico (como reCAPTCHA de Google o hCaptcha) requerirá jamás que el usuario abra una aplicación externa, realice una llamada telefónica o envíe un mensaje SMS.

Para mitigar el riesgo, los expertos recomiendan las siguientes pautas técnicas y de comportamiento:

  • Desconfiar de CAPTCHAs inusuales: Si el desafío pregunta por el modelo de tu teléfono o la velocidad de tu internet, es un indicio casi seguro de fraude.
  • Bloqueo de servicios premium: Muchos operadores de telefonía móvil permiten bloquear el envío de mensajes a números de tarifa especial o internacionales. Activar esta opción es la defensa más efectiva contra la pérdida de dinero.
  • Observar el comportamiento del navegador: Si al intentar salir de una página esta se recarga constantemente o impide el retroceso, cierra la pestaña o el navegador por completo.
  • Revisión periódica de facturas: Dado que los cargos por IRSF a menudo tardan semanas en aparecer en los estados de cuenta, los usuarios deben monitorear sus cargos de roaming y SMS internacionales con regularidad.

El panorama de la ciberseguridad en 2026 nos enseña que los atacantes ya no necesitan infectar el núcleo de un sistema para ser exitosos. Al explotar la fatiga por clics y la familiaridad del usuario con los controles de seguridad, la estafa Click2SMS demuestra que el eslabón más débil sigue siendo la confianza automatizada. La educación del usuario y la implementación de políticas estrictas de navegación por parte de los desarrolladores de navegadores —como la reciente prohibición de Google al secuestro del botón de retroceso— son pasos cruciales, pero la vigilancia individual sigue siendo la primera línea de defensa en esta guerra digital por cada centavo.

Etiquetas

ciberseguridadfraude por smsIngeniería socialSeguridad móvil
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.

También te puede interesar

Malware ChatGPT: Sitio falso roba datos de usuarios en Windows y Mac

Estafas FIFA 2026: El FBI alerta sobre sitios web falsos y phishing

Ransomware en persona: El nuevo esquema de extorsión del Silent Ransom Group